🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

Cómo usar Nidhogg, un sencillo y potente Rootkit

Nidhogg es un rootkit multifuncional para hackers. El objetivo de Nidhogg es proporcionar un rootkit todo en uno y fácil de usar con múltiples funcionalidades útiles para evaluaciones de seguridad. El rootkit se puede integrar con su marco de comando y control (C2) a través de un solo archivo de encabezado con un uso simple, puedes ver un ejemplo aquí

Nidhogg puede funcionar en cualquier versión de Windows 10 y Windows 11 de 64 bits.

Este repositorio contiene un controlador de kernel con un encabezado C++ para comunicarse con él.

Características de Nidhogg

  • Ocultar y mostrar procesos
  • Elevación del proceso
  • Protección de procesos (anti-kill y dumping)
  • Evasión
  • Ocultar acciones
  • Protección de hilos (anti-kill)
  • Protección de archivos (anti-borrado y sobrescritura)
  • Ocultar archivos
  • Protección de claves y valores de registro (anti-eliminación y sobrescritura)
  • Ocultación de valores y claves de registro
  • Consulta de procesos, subprocesos, archivos, claves de registro y valores actualmente protegidos
  • Núcleo arbitrario R/W
  • Aplicación de parches de función
  • Evasión de AMSI incorporado
  • Parche ETW incorporado
  • Modificación de firma de proceso (PP/PPL)
  • Se puede cargar reflexivamente
  • Inyección de Shellcode
    • APC
    • NtCreateThreadEx
  • Inyección DLL
    • APC
    • NtCreateThreadEx
  • Consulta de devoluciones de llamada del kernel
    • ObCallbacks
    • Rutinas de creación de procesos y subprocesos
    • Rutinas de carga de imagen
    • Devoluciones de llamada del registro
  • Eliminación y restauración de devoluciones de llamada del kernel
  • Manipulación de ETWTI

Carga reflectante

Desde la versión 3.0, Nidhogg se puede cargar reflectivamente con kdmapper, pero debido a que PatchGuard se activa automáticamente si el controlador registra devoluciones de llamada, Nidhogg no registrará ninguna devolución de llamada. Lo que significa que si estás cargando el controlador de forma reflectiva, estas funciones se desactivarán de forma predeterminada:

  • Protección de procesos
  • Protección de hilos
  • Operaciones de registro

Funciones de activación de PatchGuard

Estas son las funciones que activará PatchGuard, aún puedes usarlas bajo tu propio riesgo.

  • Ocultación de procesos
  • Protección de archivos

Uso básico

Tiene un uso muy simple, solo incluye el encabezado y ¡comienza!

Manual

Este contenido se encuentra parcialmente protegido

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información