En otras palabras, usualmente se lo asocia como un malware, que se esconde a sí mismo y a otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten al intruso mantener el acceso a una amplia variedad de sistemas operativos como pueden ser GNU/Linux, Solaris o Microsoft Windows para remotamente comandar acciones o extraer información sensible....sencillo nop..=)
Vamos a ir despacio y con calma en este post, primero vamos a entender que es un rootkis y que tipo de daño nos puede causar en nuestro ordenador..=)
¿ Que es un rootkit ?
Un rootkit es un programa que permite un acceso de privilegio continuo a una computadora, pero que mantiene su presencia activamente oculta al control de los administradores al corromper el funcionamiento normal del sistema operativo o de otras aplicaciones.
Tambien se podria decir que es un conjunto de herramientas que trabajan en conjunto para esconderse asi mismo y tambien escondener otros elementos del sistema...=)
¿ Y que pueden hacer los Rootkit ?
Muy bueno pregunta..xDD!!..Por ejemplo cuando un atacante instala un rootkit en una computadora después de primero haber obtenido un acceso al nivel administrador, ya sea por haberse aprovechado de una vulnerabilidad conocida o por haber obtenido una contraseña (ya sea por crackeo de la encriptación o por ingeniería social).
Una vez que el rootkit ha sido completamente instalado, permite que el atacante disfrace la siguiente intrusión y mantenga el acceso privilegiado a la computadora por medio de rodeos a los mecanismos normales de autenticación y autorización....mm..interesante cierto..xDD!!....Pese a que los rootktis pueden servir con muchos fines, han ganado notoriedad fundamentalmente como malware, escondiendo programas que se apropian de los recursos de las computadoras o que roban contraseñas sin el conocimiento de los administradores y de los usuarios de los sistemas afectados.
Hoy en dia existen muchas clases de rootkits, algunos pueden estar dirigidos al firmware, al hipervisor, al núcleo, ó , más comúnmente, a los programas del usuario.
Por ejemplo....Vamos a suponer que en nuestro ordenador alguien ha instalado un rootkits...=D..Ahora vamos a imaginar que alguien tiene un backdoor en nuestro ordenador para llevar a cabo tareas de espionaje.
En este escenario en trabajo del rootkit sera de ocultar los puertos abiertos de comunicacion, o tambien puede haber un sistema para el envio de spam, en este caso el rootkit ocultaria toda la actividad que esta ocurriendo en el correo..=D....interesante cierto...xD!!
¿ Y cuales son los objetivos del rootkit ?
Bueno hoy en día los objetivos son multiples, pero vamos a nombrar los mas los mas relevantes...=D
Objetivos :
- Ocultar los rastros de un intruso.
- Ocultar la presencia de procesos o aplicaciones maliciosas.
- Recoleccion de informacion privada y confidencial.
- Utilizar el sistema para ataques maliciosos.
- Cubrir la actividades dañinas como si fueran realizadas por programas legítimos.
- Ocultar la presencia de codigos maliciosos que se aprovechan de vulnerabilidades del sistema : modificación de parches, retorno a versiones anteriores, puertas traseras, entradas clandestinas, etc.
- Guardar otras aplicaciones nocivas y actuar como servidor de recursos para actualizaciones de botnets (una recoleccion de robots o bots que se ejecuten de manera autonoma , para finalmente formar verdaderas verdaderas redes de maquinas zombis).
Formas de detección
Apagar el sistema que se considere afectado y revisar o salvar los datos arrancandolos desde un medio alternativo, este medio puede ser un disco duro externo , un USB , un CD - ROM , etc.
Disco duro externo.
Existen programas que comprueban la integridad del sistema mediante firmas. Este tipo de programas hace firmas digitales de los programas mas importantes del sistema y de cualquier modificación de estos programas generará una firma distinta, de esta manera se detecta la intrusión.
En Unix, dos de las aplicaciones mas populares son : Chkrootkit y Rkhunter.
Ahora , para Windows tenemos el Blacklight....Otra aplicación de detección para windows es Rootkit-Revealer - Sysinternals. Detecta todos los rootkits actuales comparando las funcionalidades del sistema operativo original con las que se han detectado.
- Blackligth
- Rootkit Razor
- RootkiRevealer - Sysinternals
Tipos de Rootkits
- Rootkit persistentes.
Un rootkit persistente se activa cada vez que el sistema se inicia. Por ello, necesita almacenar su código de alguna forma dentro del ordenador, y debe tener algún modo de conseguir iniciarse automáticamente.
- Rootkit basados en memoria :
Son códigos mal intencionado que no contienen código persistente y por lo tanto no sobreviven un reinicio.
- Rootkits de modo de usuario
Un rootkit de modo de usuario intercepta todas las llamadas a las API de windows FindFirstFile/FindNextFilem, usadas por utilidades de exploración del sistema de archivos, que incluyen Explorador y el sismbolo del sistema, para enmerrar el contenido de los directorios del sistema de archivos.
- Rootkits de modo núcleo.
Los Rootkits de modo núcleo son mas eficaces, ebido a queno s olo pueden interceptar la API nativa de modo núcleo, sino que tambien pueden manipular directamente estructuras de datos de modo núcleo. Una técnica frecuente para ocultar la presencia de un proceso de código mal intencionado es quitar el proceso de la lista de procesos activos del núcleo.
Las DLLs (Dynamic Link Library), bibliotecas de vinculos dinámicos - son librerías compartidas, en lugar de incluir código coún en cada uno de los programas, es mas práctico "reciclaro", de manera que funciones comunes se almacenan en ficheros aparte.
Ahora viene lo interesante..=)....Las DLLs son cargas al correr los programas u otras Dlls , sin embardo, con las dll codigo de inyeccion malicioso, hablamos de insertar código en el espacio de memoria de otros programas, mediante la carga de un dll de origen maliciosa o inyectarla en procesos abiertos (DLL Hooking), consiguiendo asi pasr el firewal.....=D
Prevenir un Rootkit
Es necesario un sistema que vigile no unicamente la actividad de los archivos en el disco. En lugar de analizar los archivos byte a byte, debe vigilarse lo que hacen al ejecutarse.
AntiRootkits
Ahora vamos a presentar algunos programas que nos van a servir ante una ameza de este tipo..=)
- TDDSKiller : Elimina rootkit de la familia Rootkit.Win32.TDSS : TDL1, TDL2, TDL3, TDL4, TDSS, Tidserv, TDSServ Sinowal, Whistler, Phanta, Trup, Stonedy, MBR Rootkit y Alureon entre otros...=)
- F-Secure BlackLight Rootkit Eliminator
- Sophos Anti-Rootkit
- RootkitRevealer : Dedicado a un tipo de malware que puede otorgar el control del ordenador a un usuario remoto.
Ahora por ultimo vamos a dar un pequeño ejemplo acerca de Rootkit...=)
Sony utilizo tecnología XCP (Extended Copy Protection ) de First 4 Internet LTD, para el control de acceso de ciertos CDs de música.
Los discos protegidos por XCP restringieron el número de copias de CDs o DVDs que podían hacerse y también controlaron la conversión del formato de codificación (ripping) de la música, para guardarla y escucharla en un reproductor digital.
Asi, no fue posible reproducir un CD en una PC sin instalar previamente un software que luego esconde archivos, procesos y claves del registro modificando el camino de ejecución de las funciones API. Hizo esto utilizando una técnica propia de los rootkits, que modifica la tabla del servicio del sistema (SST, System Service Table)
Nos vemos....=D
No hay comentarios:
Publicar un comentario