Chkrootkit: Rootkit Detection su Linux per Incident Response e Post-Exploitation Analysis

Chkrootkit verifica la presenza di rootkit noti su sistemi Unix/Linux controllando binari di sistema, moduli kernel, file di configurazione e segni di compromissione. Nel pentest lo usi in due direzioni: in post-exploitation per verificare se il sistema è già stato compromesso da altri attaccanti, o in fase difensiva per controllare l’integrità di host durante un assessment.

Kill chain: Discovery / Defense Evasion check (MITRE ATT&CK T1014).

1️⃣ Setup e Installazione #

sudo apt install chkrootkit

Verifica: chkrootkit -V. Versione: 0.57.

2️⃣ Uso Base #

sudo chkrootkit

Output:

ROOTDIR is '/'
Checking 'amd'...                                     not found
Checking 'basename'...                                 not infected
Checking 'biff'...                                     not found
Checking 'chfn'...                                     not infected
Checking 'chsh'...                                     not infected
Checking 'cron'...                                     not infected
Checking 'crontab'...                                  not infected
Checking 'ifconfig'...                                 not infected
Checking 'login'...                                    not infected
Checking 'ls'...                                       not infected
Checking 'netstat'...                                  not infected
Checking 'ps'...                                       not infected
Checking 'su'...                                       not infected

Solo risultati positivi:

sudo chkrootkit | grep "INFECTED"

3️⃣ Tecniche Operative #

Check specifico #

sudo chkrootkit -q

Quiet mode — mostra solo output rilevante.

Check su filesystem diverso (forense) #

sudo chkrootkit -r /mnt/suspect_disk

Analizza un filesystem montato — utile per analisi forense senza avviare il sistema sospetto.

Check singolo rootkit #

sudo chkrootkit slapper
sudo chkrootkit sniffer

4️⃣ Tecniche Avanzate #

Esecuzione da media trusted #

Per evitare che un rootkit kernel-level nasconda la propria presenza:

# Da live USB con chkrootkit
sudo chkrootkit -r /mnt/target_root

Confronto con Lynis #

Chkrootkit è specifico per rootkit. Lynis fa un audit di sicurezza completo. Usali entrambi.

5️⃣ Scenari Pratici di Pentest #

Scenario 1: Verifica post-exploitation #

sudo chkrootkit -q 2>/dev/null

Timeline: 30 secondi.

Scenario 2: Analisi forense #

sudo chkrootkit -r /mnt/evidence

Scenario 3: Check rapido prima di persistence #

Verifica che il sistema non abbia già rootkit — evita conflitti.

6️⃣ Toolchain Integration #

Flusso: Shell → Chkrootkit (rootkit check) → Lynis (audit) → Osqueryi (deep enum)

7️⃣ Attack Chain Completa #

Fase 1: Chkrootkit → sistema pulito (30 sec). Fase 2: Lynis → trova misconfiguration (2 min). Fase 3: Exploit privesc → root (10 min). Timeline: ~13 min.

8️⃣ Detection & Evasion #

Chkrootkit è un tool legittimo. Nessun alert AV/EDR.

9️⃣ Performance & Scaling #

30-60 secondi per check completo. Consumo minimo.

🔟 Tabelle Tecniche #

11️⃣ Troubleshooting #

12️⃣ FAQ #

Chkrootkit rileva rootkit kernel moderni? I rootkit sofisticati possono eludere chkrootkit. Per detection avanzata, usa rkhunter o analisi forense da media esterno.

13️⃣ Cheat Sheet #

Disclaimer: Chkrootkit per security assessment autorizzato. Repository: github.com/Magentron/chkrootkit.

Vuoi supportare HackIta? Visita hackita.it/supporto per donazioni. Per penetration test professionali e formazione 1:1, scopri hackita.it/servizi.