Sobre los Rootkit...

Ver el tema anterior Ver el tema siguiente Ir abajo

Sobre los Rootkit...

Mensaje  r00t el Dom Oct 16, 2011 2:20 pm




Rootkit´s de sistema:

El código de un rootkit no tiene otra finalidad que esconder/hacer imperceptible al usuario ciertas herramientas (principalmente troyanos, shellcode, netcat...) que dan acceso root/admin en un sistema comprometido previamente. Ya sea en sistema Windows, Unix, Mackintosh, aqui no se salva nadie.
Si que es cierto que en cantidad no es comparable, siempre habran más rootkit para Windows que para Linux por ser el sistema operativo mas
utilizado, bueno hay quien discrepa en ésto, hay quien diría más sencillo para el usuario normal...

Aqui la descripcion desde Wikipedia: http://es.wikipedia.org/wiki/Rootkit

Al lio del tema, podemos diferenciar entre dos tipos de rootkit (independientemente de la plataforma utilizada).
Los que realizan modificaciones a nivel de usuario o a nivel de núcleo (kernel).

UserLand.
KernelLand.

La diferéncia entre ambos es que uno actúa a muy bajo nivel (kernelLand) y el otro no (userLand), este último no obtendrá los mismos derechos
sobre modificaciones que el instalado a nivel de kernel (máximos privilegios), pero aún actuando sobre algunas partes del tercer anillo puede ser suficiente para ocultar completamente tantos archivos y procesos como necesite el autor del virus.

Dependiéndo de que bichejo te haya tocado habrá que actuar de una forma y con una par de herramientas podrá ser solucionada la infección y no en
el peor de los casos (kernelLand) requerirá herramientas más sofisticadas y algun que otro paper para poder deshacernos de él. Todo ésto dependerá también de la destreza que tenga el usuario que está examinando la máquina comprometida...
Uno de los principales problemas que podemos observar con la infección de un rootkit de por medio es que modifica varios archivos y dll con el
objetivo de pasar desapercibido en el sistema donde se ha hospedado. Con esto nos referimos a que modificará toda petición de procesos, entradas de registro, sistema de archivos y los ocultará. Puede hacerse invisible incluso a las heurísticas de los antivirus, donde en el mejor de los casos el antivirus/antirootkit delatará la posición del rootkit pero no podrá hacer nada de nada para quitarselo de encima (eliminarlo/pasarlo a cuarentena), incluso en "Modo seguro". (como digo, se pasan el Modo Seguro por el forro...).
En esta gráfica podemos observar los niveles de priviliegios establecidos para las diferentes aplicaciones que se ejecutan durante el funcionamiento del sistema operativo (o las que se ejecutarán en un futuro):





Aqui una breve descripción de lo que serían los anillos/capas (Ring):
http://en.wikipedia.org/wiki/Ring_(computer_security) --> RING desde WIkipedia - ingles.

Si el sistema esta en marcha y la infección es grave se puede dificultar mucho la desinfección, por ello pasariamos a apagar el sistema comprometido y analizarlo desde otro sistema previamente preparado para que no cargue el rootkit en memoria, procesos de ocultación y dificulte su eliminación.
Posteriormente pasariamos a ejecutar las diferentes herramientas en función de la complejidad de ocultación/ofuscación del rootkit. Tenemos que tener en cuenta que ciertos rootkit detectan la ejecución de herramientas de desinfección especifica, por esto mismo en todos los casos es aconsejable editar el nombre del ejecutable de la heramienta de desinfección por otro aleatorio compuesto por numeros (867758.exe, por
ejemplo...).

Un rootkit que se precie tendría las siguientes características:
Ocultación de los siguientes tipos de objetos:

* Ficheros
* Procesos
* Llaves y valores del registro
* Servicios y drivers NT
* Sectores del RAM
* Descriptores de objetos
* Conexiones TCP entrantes y salientes

Realizan una función conocida como backdoor, que permite administrarlo mediante una conexión TCP, usando para esto los sockets ya abiertos en el equipo de la víctima, con lo que se protege de la detección por medios como el escaneo de puertos en el equipo.
Esconde los objetos del sistema operativo, modificando las rutas de ejecución de varias funciones del sistema operativo en las siguientes bibliotecas:

Ntdll.dll:
kernel32.dll:
AdvApi32.dll:
Ws2_32.dll:
(entre otras...)

Durante el proceso de instalación el rootkit suele instalar un driver (.sys) en su directorio raíz. Al instalar un driver en el sistema automaticamente se accede a ciertos priviliegios de modificaciones en el tercer anillo. Como resultado de la instalación del driver, en el registro del sistema aparecen dos llaves:

-HKLM\SYSTEM\CurrentControlSet\Services\[service_name]
-HKLM\SYSTEM\CurrentControlSet\Services\[driver_name]

Dentro de los patrones relacionados con los rootkit podemos identificar dos variables, los que se ejecutan incluso en modo seguro y los que no.
Para garantizar su carga automática en el modo seguro, puede crear una o más llaves en el registro del sistema:

-HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\nombre_del_administrador\[service_name]
-HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\[driver_name]


También es necesario mencionar que los redactores estándar del registro del sistema no pueden mostrar las llaves creadas por el rootkit cuando éste está activo. Como se menciona más arriba, si el sistema no esta cargado, el rootkit tampoco "debería", digo debería por que existen algunos, aunque
poquitos expecimenes que se cargan con el booteo del sistema, esto sería que primeros e carga el rootkit y luego el se encarga de cargar el sistema operativo. A continuación mencionamos uno de algunos casos:

Como ejemplo de técnicas de ocultación al sistema, el caso de la Universidad de Michigan y Microsoft. En marzo de 2006, desarrollaron un rootkit basado en tecnología virtual. Se basa en modificar la secuencia de arranque del ordenador, de modo que es cargado en lugar del sistema operativo.
Después, el propio rootkit se encarga de cargar el sistema operativo, como si se tratara de una máquina virtual, de modo que toda la comunicación entre el sistema operativo y el hardware es interceptada. Una vez instalado, es prácticamente indetectable.

Este texto lo saqué de las páginas de KasperskyLab, en el que hacen mención a algunos Rootkit, forma de actuar, etc:
Este artículo se enfoca en los rootkits para Windows por varias razones: son los más numerosos, siguen evolucionando, representan una seria amenaza para los usuarios, y porque siendo Windows el sistema operativo más popular, en la actualidad son los preferidos de los autores de virus. Yo defino los rootkits como programas que evaden o burlan los mecanismos estándar del sistema mediante técnicas furtivas para ocultar objetos del sistema: archivos, procesos, controladores, servicios, llaves de registro, puertos abiertos, conexiones, y otros.

Rootkits para UNIX
En cualquier discusión sobre los rootkits es imposible no mencionar la etimología del término (inglés) “rootkit”. En los sistemas UNIX, “root” designa un administrador con todos los privilegios, y “kit” se refiere a una serie de herramientas. Entonces, el término “rootkit” se describe una serie de herramientas que se pueden utilizar con intenciones maliciosas para lograr acceder al sistema de manera invisible ante el administrador real. Estas herramientas aparecieron por primera vez para UNIX a principios de los años 90. Aún están en circulación, pero ya no evolucionan de manera significativa.

Sin embargo, es importante recordar que aunque los rootkits para Windows heredaron el nombre “rootkit” del entorno UNIX, los programas maliciosos para Windows descienden directamente de los virus invisiblespara DOS y no de los rootkits para UNIX

Virus invisibles
Los virus invisibles para DOS hicieron su aparición allá por 1990, casi al mismo tiempo que los rootkits para UNIX. A diferencia de los rootkits para UNIX, que se diseñaron para acceder al sistema y ser imperceptibles, los virus invisibles para DOS sólo se ocultaban del usuario y de las soluciones antivirus. Esto es exactamente lo que hacen los modernos rootkits para Windows. Las técnicas que utilizaban los virus invisibles para DOS son muy similares a las que usan los actuales rootkits para Windows. Por ejemplo, los virus invisibles se basan en técnicas como la intercepción de llamadas del sistema y la ocultación de códigos maliciosos mediante la provisión de datos falsos en el disco o en el contenido de la memoria. Los rootkits para Windows también recurren en gran medida a estas técnicas. Los rootkits para Windows aparecieron 10 años después. En vez de designar a estos nuevos programas como virus invisibles, o con otra denominación más lógica, se los llamó “rootkits”, gracias a Greg Hoglund. Él fue uno de los primeros en construir una herramienta diseñada para ocultar datos en el sistema mediante la combinación de varias técnicas de evasión de las características de protección de Windows. Publicó sus resultados en la revista en línea PHRACK; en esta publicación bautizó la herramienta con el nombre de NT Rootkit. Así se la utilizó en muchos elementos de programas maliciosos. En realidad, NT Rootkit sigue intrigando e inspirando a los modernos investigadores y autores de rootkits.

Orígenes y popularización
El artículo de Hoglund se publicó en 1999 en base a una investigación sobre el núcleo de Windows llevada a cabo el año anterior y publicada en Usenet por un programador de Sri Lanka. Ya en 1995, Jeffrey Richter, un gurú de la programación en Windows, descubrió técnicas para interceptar llamadas al sistema en modo de usuario y las publicó en su famoso libro "Advanced Windows", cuya cuarta edición se tituló “Programming Applications for Microsoft Windows”. Estas técnicas se implementaron posteriormente en muchos rootkits e incluso se llegó al extremo de copiar el código fuente directamente del libro.

Las técnicas para interceptar llamadas del sistema en modo de núcleo se hicieron públicas en dos manuales clásicos de programación:
“Undocumented Windows 2000 Secrets" de Schreiber, publicado en 2001, y
"Undocumented Windows NT" de P. Dabak y otros co-autores, en 1999.
El primer rootkit para Windows

Los investigadores siguieron estudiando la protección del sistema Windows y, poco después de la aparición de NTRootkit, surgieron más herramientas, todas ellas diseñadas para ocultar objetos en el sistema operativo:

* 2000 – he4hook, diseñada por un programador ruso. Esta herramienta no es maliciosa, pero oculta archivos. Funciona en el modo de núcleo.
Resulta curioso que el mismo autor no se refiera a su programa como un rootkit.

* 2002 – Hacker Defender (aka HacDef). Esta también es una herramienta pero más poderosa: Se la puede utilizar para ocultar archivos, procesos y llaves de registro con parámetros flexibles en el archivo de configuración. También funciona por lo general en el modo de usuario.

* 2003 – Vanquish. Esta herramienta se puede utilizar para ocultar archivos, directorios y llaves de registro. Además, conlleva una carga maliciosa: es capaz de registrar contraseñas. Vanquish funciona en modo de usuario.

Cabe concluir que el pensamiento de los investigadores experimentó un giro cuyo enfoque se trasladó de las herramientas neutrales a las herramientas diseñadas con otros fines, incluso maliciosos.

* 2003 – Haxdoor (aka A-311 Death and Nuclear Grabber, una variante modificada del mismo programa). Esta va más allá de ser una herramienta
ya que es una puerta trasera que recurre a técnicas de rootkits para ocultar su presencia en el sistema. Funciona básicamente en modo de
núcleo.

* 2004 – FU es una herramienta utilizada para ocultar procesos. Esta herramienta introduce una nueva técnica basada en la modificación de la
estructura del mismo sistema en vez de modificar el acceso al sistema. Funciona en el modo de núcleo.

Esta no es una lista completa pero incluye los rootkits claves para comprender la evolución de los rootkits para Windows, especialmente HacDef, Haxdoor y FU. Era común encontrar estos 3 rootkits circulando en Internet en combinación con otros programas maliciosos.

Los rootkits surgidos entre 2000 y 2004 encajan bien en el sistema estándar (ya obsoleto) de clasificación: Pueden funcionar tanto en el nivel de usuario como en el de núcleo gracias a Execution Path Modification o a Direct Kernel Object Manipulation.
Esta clasificación ha sido objeto de interminables discusiones; si desea conocer más al respecto consulte: www.securitylab.ru (Russian) http://z-oleg.com (Russian) www.securityfocus.com

Producción masiva de rootkits

A medida que los rootkits evolucionaban, se empezaron a utilizar también en programas maliciosos. En aquel entonces resultaba difícil crear tecnologías furtivas de manera independiente ya que había poca literatura sobre el tema. En consecuencia, el reducido número de rootkits maliciosos podía dividirse en tres categorías:

* Troyanos que para ocultarse utilizaban herramientas hechas a medida y bibliotecas. La inmensa mayoría de estos troyanos utilizaba Hacker Defender y FU.

* Rootkist maliciosos hechos a solicitud que podían descargarse o adquirirse y que el usuario podía modificar. Un ejemplo es Haxdoor. Al igual que HacDef, Haxdoor se hizo muy popular en el otoño de 2005. En aquel entonces, Kaspersky Lab añadía cerca de diez firmas diarias a su base de datos para neutralizar las nuevas variantes de Haxdoor.

* Los rootkits hechos bajo demanda empezaron a desarrollarse para realizar ataques dirigidos a blancos específicos. Los desarrolladores de soluciones antivirus solían enterarse de estos rootkits directamente por sus clientes, la mayoría de los cuales eran grandes compañías. Por lo general, los analistas de virus llevaban a cabo investigaciones forenses in-situ, de forma manual, cuando los administradores de redes no lograban identificar la causa del problema. Este grupo de rootkits era muy reducido, pero los ejemplares estudiados demostraban un alto
nivel de sofisticación técnica.

En 2005, casi el 80% de los rootkits existentes eran variantes de HacDef y Haxdoor. Rbot y Sdbot fueron los primeros troyanos de puerta trasera multifuncionales que incorporaban tecnologías rootkit. La razón era evidente, pues cualquier tecnología que mejorara la funcionalidad general de un troyano comercial se convertía en una ganancia monetaria adicional para el autor o el controlador. Tanto es así que los autores de bots fueron los primeros en entrar en la rueda de las tecnologías rootkit furtivas.

En 2006, observamos tecnologías rootkit implementadas en gusanos comunes de correo, como Bagle; en programas troyanos espía, como Goldun; y en programas Mailbot, como Rustock. Esta tendencia se convirtió en un serio desafío para los desarrolladores de soluciones antivirus.

Sin embargo, cuando las tecnologías rootkits basadas en troyanos se estandarizaron, ya existía una cantidad de herramientas antirootkit, tanto individuales como incorporadas en productos. Se había reestablecido el equilibrio de poder. Rootkits y escándalos

En 2005, el uso de tecnologías rootkit en programas maliciosos estaba tan expandido que captó la atención de los medios de comunicación y, por supuesto, de los desarrolladores de soluciones de seguridad. Los representantes de Microsoft plantearon el asunto en la conferencia RSA.

El gran número de escándalos suscitados por las tecnologías rootkit en varios productos de software y de hardware en 2006 demostraba sin duda alguna que los rootkits se habían convertido en tema de interés público.

1. La tecnología de protección de copias Sony DRM, en algunos CDs, ocultaba sus archivos a los usuarios. Además, esta tecnología se implementó de tal manera que creó una grave vulnerabilidad: el usuario podía poner nombres especiales a los archivos y la tecnología Sony DRM se encargaba de ocultarlos.
2. Symantec incluía una característica parecida en sus productos: usaba un directorio oculto a los usuarios. Este incidente no deja de ser divertido, pues Symantec documentó su "protected basket" y resultaba fácil desactivarla. En realidad, el concepto de ocultar archivos en esta carpeta oculta no es tan interesante como el concepto de ocultar archivos en las profundidades del árbol del directorio del sistema, al cual ningún usuario suele acceder.
3. La siguiente víctima de los escándalos relacionados con los rootkits fue el mismo Kaspersky Anti-Virus, puesto que el producto era capaz de restaurar los datos en los flujos de archivos, es decir, en aquellas partes del sistema generalmente ocultas a los usuarios. Aunque aún no era claro el peligro que esto representaba, el uso del término ‘rootkit’ logró asustar a mucha gente.

Histeria antirootkit

Otro aspecto importante en la evolución de los rootkits fue la histeria
antirootkit que la acompañó. A mediados de 2006, todos los principales
desarrolladores de soluciones antivirus admitieron que era necesario
reaccionar ante la amenaza que representaban los rootkits. Y cada
compañía reaccionó de forma aislada. Algunos modificaron sus productos
para que accedieran a objetos ocultos durante los análisis antivirus
regulares. Otros lanzaron herramientas antirootkit individuales. Otro
grupo respondió incluyendo el análisis antirootkit en sus productos; se
podía acceder a esta función a través de la interfaz del producto.

En honor a la verdad, nadie en particular tuvo éxito; era como abrir el paraguas después de empaparse.

Dado el empeoramiento de la situación, F-Secure, cuya herramienta
antirootkit fue lanzada poco después de que Sysinternals lanzara su
Rootkit Revealer, fue uno de los primeros desarrolladores en tomar una
acción notable. La herramienta de F-Secure sólo detectaba procesos
ocultos, pero se basaba en tecnologías de prueba de concepto.
Antirootkits de desarrolladores independientes

Las herramientas antirootkit de desarrolladores independientes
aparecieron incluso antes, alrededor de 2005. A diferencia de las
soluciones de los fabricantes de productos antivirus, que necesitaban
evidenciar que protegían a sus usuarios, los desarrolladores
independientes sólo pretendían desvelar la mayor cantidad de datos
ocultos. Por esta razón, estas herramientas resultaron ser más
profesionales, más poderosas, y más capaces de reaccionar de forma
adecuada al entorno cambiante.

Las primeras herramientas antirootkit se diseñaron para revelar un solo
tipo de objeto, por ejemplo, los archivos ocultos. A medida que pasaba
el tiempo, se hicieron progresivamente multifuncionales y utilizaban
un enfoque sistemático. Hoy en día, las herramientas antirootkit
generales más útiles son GMER y Rootkit Unhooker, que ya no cuenta con
soporte. Ambas herramientas posibilitan la realización de un análisis
superficial y rápido, desde distintos ángulos, del estado de un
sistema. También se pueden usar, si fuera necesario, para análisis más
profundos y especializados.

Una de las últimas tendencias en la evolución de los rootkits es el uso
de la tecnología Bluepill (es decir, la virtualización del hardware)
que no se puede detectar mediante las actuales tecnologías antirootkit.
Sucede que no existen herramientas antirootkits completamente
funcionales capaces de detectar rootkits de tecnología Bluepill. Por
otro lado, tampoco existen programas maliciosos totalmente funcionales
que usen esta técnica, sino sólo códigos de prueba de concepto.

Sin embargo, se están realizando trabajos y estudios sobre la detección
de estas hipotéticas amenazas. Sé de dos proyectos en curso que
investigan los rootkits; uno es el de la firma rusa North Security Labs
, y el otro de la americana Hypervista Technologies . Hasta la fecha,
Hypervista sólo ha publicado alguna información teórica; mientras que
North Security Labs ha lanzado una versión beta de su Hypersight
Rootkit Detector, descargable desde su sitio Internet. Aunque el
proyecto aún se encuentra en su etapa inicial, no deja de ser
interesante.
Rootkits basados en el código ‘prueba de concepto’

En 2006, la mayoría de los rootkits se detectaron mediante herramientas
antirootkit, lo que dio inicio al ocaso del ‘boom’ de los rootkits.
Naturalmente, esto llevó a los investigadores, legítimos y rufianes, a
estudiar nuevas técnicas potencialmente indetectables.

La mayoría de ellos se enfocó en el concepto de la virtualización del
hardware (integrado en los nuevos procesadores Intel y AMD) para
hacerse con el control del sistema operativo. Este método permite la
creación de rootkits indetectables para las actuales herramientas
antirootkit.

En 2006 se lanzaron tres rootkits 'prueba de concepto': SubVirt (pdf),
BluePill (pdf) y Vitrio (pdf). En el momento de escribir este artículo,
la detección de estos rootkits es aún un tema sin solución. Sin
embargo, y hasta donde sabemos, estos rootkits todavía no han entrado
en circulación en Internet.

La segunda área importante de estudio por parte de los investigadores
son los rootkits que se desarrollan en el sector de arranque, conocidos
como ‘bootkits’. Este grupo de rootkits logra hacerse con el control
total del sistema mientras éste arranca. Esta técnica se remonta a los
virus tipo ‘boot’ que dominaron en la era del DOS. El primer rootkit
‘prueba de concepto’ dirigido al sector de arranque fue eEye Bootroot
(pdf), que apareció en 2005. Vbootkit (pdf), un rootkit similar,
apareció en 2007 y se presentó como muestra de una investigación
dedicada al tema candente en ese momento: la seguridad de Vista.
Últimas tendencias

Tras un periodo relativamente largo durante el cual no surgieron nuevos
rootkits, 2008 trae consigo nuevos retos para la industria antivirus.
Un nuevo programa malicioso que supuestamente ataca al sector de
arranque ha entrado en escena. Se lo conoce por varios nombres:
Sinowal, Mebroot y StealthMBR. La mayoría de las soluciones antivirus
no logran detectarlo y mucho menos son capaces de desinfectar los
equipos.

Este rootkit, o ‘bootkit’, como habitualmente se lo conoce debido a que
se ejecuta durante la secuencia de arranque, se basa en el código eEye
Bootroot. En esencia, no es tanto un programa malicioso separado, sino
más bien una herramienta para ocultar troyanos... cualquier tipo de
troyano. Por tanto, parece razonable concluir que Sinowal es compartido
(quizás con algún coste) en ciertos círculos, y que no hemos visto ni
un ápice de lo que en realidad es.

Aunque no se le ha dado la debida atención, otra importante y reciente
técnica es el uso de funciones CmRegisterCallback, creadas por
Microsoft para ayudar a los desarrolladores a ocultar objetos en el
registro. Varios de los programas maliciosos más sofisticados,
incluyendo Bulknet, recurren a esta técnica.
El mítico rootkit

A finales de 2006, los foros de seguridad se saturaron de rumores sobre
Rustock.c, un nuevo rootkit supuestamente indetectable. Se suponía que
este nuevo rootkit era la más reciente versión de la familia Rustock
de 'bots' no deseados. Un año y medio después, los investigadores de
Dr. Web, una compañía rusa antivirus, anunciaron que habían encontrado
una muestra de Rustock.c y analizado su rutina de propagación. Por
desgracia, aún no se dispone de todos los detalles, por lo cual no está
clara la verdadera magnitud de la amenaza. Los datos proporcionados
por Dr. Web parecen indicar que este rootkit en realidad se creó en
septiembre de 2007, y no a finales de 2006.

Sin embargo, lo que está claro es que no es imposible detectar
Rustock.c. El programa no recurre a ninguna avanzada tecnología que
prevenga su detección. Aunque logra evadir los actuales métodos de
detección, esto no es difícil en absoluto, pues un gran número de
programas menos conocidos también logran eludir medidas de seguridad.

En resumen, Rustock.c resultó ser más interesante desde el punto de
vista del flujo de información que desde una perspectiva técnica. Los
rumores que aparecieron a finales de 2006 carecían de fundamento pero
de alguna manera prepararon el terreno para futuros eventos. Cuando una
muestra verdadera apareció por fin, todos se emocionaron por poder
darle una mirada al ‘indetectable’ rootkit, aunque en realidad
Rustock.c no reviste interés alguno desde un punto de vista técnico. En
mi opinión, Rustock.c fue más importante por la reacción que provocó
en la comunidad informática que por ser un gran avance tecnológico.

Para mayores detalles sobre la historia de Rustock.c, ver: www.viruslist.com
Rootkits no dirigidos a Windows

De vez en cuando los laboratorios antivirus obtienen una muestra de
rootkits dirigidos a sistemas UNIX menos comunes, como es el caso de
Solaris. Esto es normal si una organización no monitoriza sus
servidores, configurados hace mucho tiempo y que permanecen sin
alteraciones desde entonces. Es fácil irrumpir en uno de estos sistemas
y plantar un rootkit que se detecta de manera accidental años después,
tras descubrir que la filtración de gran cantidad de información
propietaria o confidencial ha ocasionado importantes pérdidas
económicas.

Hay varios rootkits elaborados para el sistema operativo OS X de
Macintosh, e incluso hay una herramienta antirootkit para este sistema:
OS X Rootkit Hunter. Además, debido a que OS X está basado en UNIX,
algunos rootkits para UNIX se pueden modificar para que funcionen en OS
X. Aunque, en general, no hemos presenciado una evolución significativa
de los rootkits para Macintosh, ni ninguna seria amenaza para este
entorno.

Que yo sepa, los sistemas operativos para dispositivos móviles como
Windows Mobile, Symbian, etc., aún no han sido víctimas de ataques de
rootkits. Hay elativamente pocos programas maliciosos para los
dispositivos con tales plataformas, y pocas personas utilizan
soluciones antivirus, lo que hace innecesaria la tecnología rootkit.

Casi rootkits
En este artículo decidí no referirme a algunos programas maliciosos del
tipo 'prueba de concepto’ ya que no pueden clasificarse como rootkits y
la mayoría de los investigadores no los consideran como tales. Si
establecemos que un rootkit es un programa capaz de eludir los sistemas
de seguridad del sistema operativo y capaz de ocultar su propia
actividad, entonces el programa malicioso detallado a continuación está
fuera de esta definición.

Existen programas maliciosos que se ocultan en el sistema operativo,
pero de una manera ‘honesta’. Tales programas no modifican el sistema
ni eluden la seguridad incorporada. Por ejemplo, hay programas
maliciosos que se ubican en el directorio del flujo de archivos. Luego,
están aquellos que utilizan funciones documentadas del sistema para
instalar interceptores de eventos. Estos programas no se consideran
rootkits, aunque demuestren un comportamiento furtivo.

En segundo lugar, hay programas cuya invisibilidad se logra gracias a
la arquitectura interna del programa, como por ejemplo, el gusano
CodeRed , que no crea archivos en el disco ni procesos en la memoria.

En tercer lugar, existen técnicas sofisticadas para engañar al sistema
operativo. Un programa malicioso puede servirse de estas técnicas no
para ocultar las huellas de su actividad, sino para infiltrarse en el
sistema o para evadir soluciones antivirus. Para más detalles sobre
esta técnica, puede leer mi artículo, с.51 (en inglés).
Rootkits - reflexiones finales

Los casos extremos arriba mencionados llevan a la conclusión de que no
existen los rootkits maliciosos, sino varias técnicas furtivas
utilizadas para evadir la protección de un sistema y ocultar programas
en el sistema. Al igual que cualquier otra potente tecnología, estas
técnicas también se pueden utilizar con éxito tanto para fines
legítimos como maliciosos. Por ejemplo, los rootkits proactivos
generalmente combaten el fuego con fuego, utilizando los mismos
enfoques que los rootkits, tales como la intercepción de funciones del
sistema y otros similares.

Cualquiera o todas estas técnicas se pueden clasificar como rootkits en
mayor o menor grado. En el análisis final, definir qué es exactamente
un rootkit significa alinearse con la mayoría (la definición
generalmente aceptada) o con la competente opinión de la minoría, es
decir, los expertos.

Así, ¿es necesaria una definición precisa? Sin ella, corremos el riesgo
de caer en facilismos verbales sobre casos extremos, tales como los
incidentes en que se detectan los así llamados rootkits en ciertos
productos de software. Es crucial analizar en detalle el código y las
técnicas usadas en cada caso, en vez de simplemente etiquetar una
técnica como rootkit, lo que sólo crea pánico y mucho ruido sobre el
incidente.

Por ejemplo, el así llamado rootkit; www.kaspersky.com
que se identificó en la aplicación Kaspersky Anti-Virus. La técnica
utilizada en este producto fue calificada como arriesgada ya que
almacenaba información adicional en los flujos de archivos del sistema,
es decir, en áreas del sistema de archivos que resultan difíciles de
monitorear de manera directa.

¿Es esta una técnica para eludir el sistema operativo? Los ‘no-flujos’
son una función documentada del sistema operativo. ¿Constituye el
ocultamiento de datos en estos flujos una actividad maliciosa? No. En
este caso, sólo se oculta la información de servicios. ¿Constituye esta
técnica una vulnerabilidad, es decir, se la puede utilizar con fines
maliciosos? No. Un usuario malicioso sólo puede usar los flujos para
ocultar códigos maliciosos (y esta técnica ya ha sido implementada en
varios programas maliciosos), pero ésta es una vulnerabilidad del
sistema operativo, no una vulnerabilidad de una aplicación. Entonces...
¿dónde está el rootkit? No se encuentra en Kaspersky Anit-Virus, y por
lo mismo, en ningún otro producto en el que una vulnerabilidad del
sistema se confunda con una vulnerabilidad de una aplicación.

El incidente de Sony DRM es un poco diferente. Las técnicas utilizadas
en la protección de copias resultaron en una vulnerabilidad en el
sentido en el que permitían a los usuarios maliciosos nombrar sus
programas maliciosos para que se vuelvan invisibles. Hoy en día,
sabemos que varios programas maliciosos explotan esta vulnerabilidad,
aunque para ser justos, el programa malicioso apareció sólo después de
que la vulnerabilidad se descubriera y debatiera.





Otra forma que podríamos utilizar son los LiveCd presentados por las diferentes compañias de antivirus para la eliminación de Malware. Al iniciar esta aplicación sin que haya ningun programa cargado, ni siquiera el sistema operativo puede resultar en algunos casos, pero no en todos.

Descargar el archivo en imagen ISO: (descarga directa).

- Panda Safe CD: Descargar
- FSecure Rescue Disk: Descargar
- BitDefender Rescue CD: Descargar
- Kaspersky Rescue Disk: Descargar
- Kaspersky Rescue Disk: Descargar
- DrWeb Live CD: Descargar
- Antivir Rescue System: Descargar
- AVG Recue CD: Descargar

Diferentes herramientas antirootkit disponibles en función del S.O utilizado:

Windows:

Gmer: Descargar
IceSword:
XP: Descargar
Vista/7: Descargar
F-Secure BlackLight: Descargar
SanityCheck: Descargar
RootRepeal: Descargar
RootkitBuster: Descargar
TheAvenger: Descargar
SpyDLLRemover: Descargar
RootlitUnhooker: Descargar

Linux:

Rootkit Hunter: Descargar
chkrootkit: Descargar
zeppoo: Descargar
RootkitProfiler: http://www.trapkit.de/research/rkprofiler/rkplx/rkplx.html
Saint Jude: Descargar

Mackintosh:

OS X Rootkit Hunter: Descargar
avatar
r00t

Mensajes : 37
Puntos : 110
Fecha de inscripción : 25/02/2011

Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba

- Temas similares

 
Permisos de este foro:
No puedes responder a temas en este foro.