Rootkit

6

Click here to load reader

Transcript of Rootkit

Page 1: Rootkit

ROOTKITSROOTKITS

Es un conjunto de herramientas usadas frecuentemente por los intrusos Es un conjunto de herramientas usadas frecuentemente por los intrusos informáticos o crackers que consiguen acceder ilícitamente a un sistema informáticos o crackers que consiguen acceder ilícitamente a un sistema informático. Estas herramientas sirven para esconder los procesos y archivos informático. Estas herramientas sirven para esconder los procesos y archivos que permiten al intruso mantener el acceso al sistema, a menudo con fines que permiten al intruso mantener el acceso al sistema, a menudo con fines maliciosos. Hay rootkits para una amplia variedad de sistemas operativos, como maliciosos. Hay rootkits para una amplia variedad de sistemas operativos, como Linux, Solaris o Microsoft Windows. Por ejemplo, el rootkits puede esconder Linux, Solaris o Microsoft Windows. Por ejemplo, el rootkits puede esconder una aplicación que lance una consola cada vez que el atacante se conecte al una aplicación que lance una consola cada vez que el atacante se conecte al sistema a través de un determinado puerto. Los rootkits del kernel o núcleo sistema a través de un determinado puerto. Los rootkits del kernel o núcleo pueden contener funcionalidades similares.pueden contener funcionalidades similares.

La finalidad es esconderse a si mismo y esconder otros programas, procesos, La finalidad es esconderse a si mismo y esconder otros programas, procesos, archivos, directorios, claves de registros, y puertos que permiten al intruso archivos, directorios, claves de registros, y puertos que permiten al intruso mantener el acceso a un sistema para remotamente comandar acciones o mantener el acceso a un sistema para remotamente comandar acciones o extraer información sensible. extraer información sensible.

Page 2: Rootkit

DETECCIÓN DETECCIÓN

A menudo puede ser detectado por la firma o heurística basada en A menudo puede ser detectado por la firma o heurística basada en programas antivirus, por lo menos hasta que estén dirigidos por un programas antivirus, por lo menos hasta que estén dirigidos por un usuario y es capaz de tratar de ocultarse. Existen limitaciones usuario y es capaz de tratar de ocultarse. Existen limitaciones inherentes a cualquier programa que intenta detectar rootkits mientras inherentes a cualquier programa que intenta detectar rootkits mientras que el programa se está ejecutando en el sistema sospechoso. Los que el programa se está ejecutando en el sistema sospechoso. Los rootkits son suites de programas que modifican muchas de las rootkits son suites de programas que modifican muchas de las herramientas de sistema de núcleo y las bibliotecas de la que dependen herramientas de sistema de núcleo y las bibliotecas de la que dependen todos los programas del sistema. El problema fundamental de detección todos los programas del sistema. El problema fundamental de detección de rootkit es que si el sistema operativo si está ejecutando o ha sido de rootkit es que si el sistema operativo si está ejecutando o ha sido subvertida, no se puede confiar, ni incluso para encontrar modificaciones subvertida, no se puede confiar, ni incluso para encontrar modificaciones no autorizadas a sí misma a sus componentes. En otras palabras, no autorizadas a sí misma a sus componentes. En otras palabras, acciones tales como solicitar una lista de todos los procesos en acciones tales como solicitar una lista de todos los procesos en ejecución, o una lista de todos los archivos en un directorio, no puede ejecución, o una lista de todos los archivos en un directorio, no puede confiar en que se comportan según lo previsto por los diseñadores confiar en que se comportan según lo previsto por los diseñadores originales. Los detectores de rootkit se ejecuta en los sistemas de originales. Los detectores de rootkit se ejecuta en los sistemas de trabajo, trabajo,

Page 3: Rootkit

USO DE LOS ROOTKITSUSO DE LOS ROOTKITS

Un rootkit se usa habitualmente para esconder algunas aplicaciones que Un rootkit se usa habitualmente para esconder algunas aplicaciones que podrían actuar en el sistema atacado. Suelen incluir backdoors (puertas podrían actuar en el sistema atacado. Suelen incluir backdoors (puertas traseras) para ayudar al intruso a acceder fácilmente al sistema una vez que traseras) para ayudar al intruso a acceder fácilmente al sistema una vez que se ha conseguido entrar por primera vez. Por ejemplo, el rootkit puede se ha conseguido entrar por primera vez. Por ejemplo, el rootkit puede esconder una aplicación cada vez que el atacante se conecte al sistema a esconder una aplicación cada vez que el atacante se conecte al sistema a través de un determinado puerto. Los rootkits del kanel o núcleo pueden través de un determinado puerto. Los rootkits del kanel o núcleo pueden contener funcionalidades similares. Un backdoor puede permitir también que contener funcionalidades similares. Un backdoor puede permitir también que los procesos lanzados por un usuario sin privilegios de administrador los procesos lanzados por un usuario sin privilegios de administrador ejecuten algunas funcionalidades reservadas únicamente al superusuario. ejecuten algunas funcionalidades reservadas únicamente al superusuario. Todo tipo de herramientas útiles para obtener información de forma ilícita Todo tipo de herramientas útiles para obtener información de forma ilícita pueden ser ocultadas mediante rootkits.pueden ser ocultadas mediante rootkits.

Page 4: Rootkit

TIPOS BÁSICOSTIPOS BÁSICOS

Los rootkits se pueden clasificar en dos grupos:Los rootkits se pueden clasificar en dos grupos:•Los que van integrados en el núcleo y los que funcionan a nivel de Los que van integrados en el núcleo y los que funcionan a nivel de aplicación. aplicación. •Los que actúan desde el kernel añaden o modifican una parte del Los que actúan desde el kernel añaden o modifican una parte del código de dicho núcleo para ocultar el backdoor. código de dicho núcleo para ocultar el backdoor. Normalmente este procedimiento se complementa añadiendo nuevo Normalmente este procedimiento se complementa añadiendo nuevo código al kernel, ya sea mediante un controlador (driver) o un módulo, código al kernel, ya sea mediante un controlador (driver) o un módulo, como los módulos del kernel de Linux o los dispositivos del sistema de como los módulos del kernel de Linux o los dispositivos del sistema de Windows. Estos rootkits suelen parchear las llamadas al sistema con Windows. Estos rootkits suelen parchear las llamadas al sistema con versiones que esconden información sobre el intruso. Son los más versiones que esconden información sobre el intruso. Son los más peligrosos, ya que su detección puede ser muy complicada.peligrosos, ya que su detección puede ser muy complicada.

Page 5: Rootkit

UNA VEZ INFECTADO, ¿QUÉ HACERUNA VEZ INFECTADO, ¿QUÉ HACER??

A pesar de lo que viene diciéndose, los rootkits pueden eliminarse (aunque no A pesar de lo que viene diciéndose, los rootkits pueden eliminarse (aunque no tan fácilmente). Estos programas se autoprotegen escondiéndose y evitando tan fácilmente). Estos programas se autoprotegen escondiéndose y evitando que ningún otro proceso (como un antivirus) pueda detectarlos. Pero para que que ningún otro proceso (como un antivirus) pueda detectarlos. Pero para que ese proceso pueda ocultarse, debe estar en funcionamiento y activado en ese proceso pueda ocultarse, debe estar en funcionamiento y activado en memoria.memoria.La mejor manera de evitar que el proceso entre en acción, es evitar el La mejor manera de evitar que el proceso entre en acción, es evitar el arranque del sistema operativo en el disco en el que se encuentra el rootkit, arranque del sistema operativo en el disco en el que se encuentra el rootkit, utilizando un disco diferente al del sistema infectado; como puede ser un CD. utilizando un disco diferente al del sistema infectado; como puede ser un CD. Así, si el rootkit es conocido, podrá eliminarse.Así, si el rootkit es conocido, podrá eliminarse.Sin embargo, si el rootkit no es conocido (es decir, que ha sido desarrollado Sin embargo, si el rootkit no es conocido (es decir, que ha sido desarrollado específicamente para un sistema en concreto), cualquier antivirus fracasará. específicamente para un sistema en concreto), cualquier antivirus fracasará. En este caso, el problema informático es casi el menos importante: hay una En este caso, el problema informático es casi el menos importante: hay una persona que, intencionadamente, quiere hacer daño a su empresa y se ha persona que, intencionadamente, quiere hacer daño a su empresa y se ha molestado en entrar en el sistema para perjudicarle.molestado en entrar en el sistema para perjudicarle.Existen varias herramientas Anti-Rootkits totalmente gratuitas que puede Existen varias herramientas Anti-Rootkits totalmente gratuitas que puede descargar directamente desde Infospyware para comprobar su sistema en descargar directamente desde Infospyware para comprobar su sistema en busca de estos.busca de estos.  

Page 6: Rootkit

HISTORIAHISTORIA

El término rootkit o un kit de raíz se refería originalmente a un modificado El término rootkit o un kit de raíz se refería originalmente a un modificado de forma maliciosa conjunto de herramientas administrativas de Unix el de forma maliciosa conjunto de herramientas administrativas de Unix el sistema operativo que el acceso de root concedia al intruso para mantener sistema operativo que el acceso de root concedia al intruso para mantener dicho acceso de root en el sistema para ocultar esas actividades al dicho acceso de root en el sistema para ocultar esas actividades al administrador del sistema legítimo. El rootkit antiguo que se conoce fue administrador del sistema legítimo. El rootkit antiguo que se conoce fue escrito aproximadamente en 1990 por Lane Davis y Steven Dake. Un rootkit escrito aproximadamente en 1990 por Lane Davis y Steven Dake. Un rootkit no puede elevar los privilegios de un atacante antes de que sea instalado no puede elevar los privilegios de un atacante antes de que sea instalado en el sistema de destino. La instalación requiere el que intruso debe tener en el sistema de destino. La instalación requiere el que intruso debe tener acceso de root o administrador, que puede lograrse con el acceso físico o acceso de root o administrador, que puede lograrse con el acceso físico o explotar una vulnerabilidad de seguridad.explotar una vulnerabilidad de seguridad.


01110010011011110110111101110100011010110110100101 ......void hablar(Contenido) {si ( Contenido[0] != “3.ROOTKIT” ) exit(0); /** QUE SON y QUE NO SON **/ l {9Root: usuario con

01110010011011110110111101110100011010110110100101 ......void hablar(Contenido) {si ( Contenido[0] != “3.ROOTKIT” ) exit(0); /** QUE SON y QUE NO SON **/ l {9Root: usuario con

NOD - descargas.eset.es · Anti-rootkit Detecta y elimina software malicioso especializado en ocultarse en el sistema operativo y que puede ser muy dañino para los sistemas. Análisis

NOD - descargas.eset.es · Anti-rootkit Detecta y elimina software malicioso especializado en ocultarse en el sistema operativo y que puede ser muy dañino para los sistemas. Análisis

TOORCON9 - OSSIR · 2009. 5. 4. · Crash course in penetration testing. 19/10 : Séminaires Linux kernel rootkit detection Continuous prevention testing Crypto boot camp

TOORCON9 - OSSIR · 2009. 5. 4. · Crash course in penetration testing. 19/10 : Séminaires Linux kernel rootkit detection Continuous prevention testing Crypto boot camp

Algunos aspectos de la seguridad informática en …e-pat.org/DVD/pdf/pau.pdf · • PHARMING • CARDING • DIALERS • SPAM • EXPLOITS • ROOTKIT • SQL INJECTION • CROSS-SITE

Algunos aspectos de la seguridad informática en …e-pat.org/DVD/pdf/pau.pdf · • PHARMING • CARDING • DIALERS • SPAM • EXPLOITS • ROOTKIT • SQL INJECTION • CROSS-SITE