Académique Documents
Professionnel Documents
Culture Documents
VTROGER.BLOGSPOT.COM
Rootkits.
Un Rootkit es un conjunto de programas que parchean y troyanizan el sistema operativo. No hay que confundir a estos con los troyanos. Usar rootkits en el sistema objetivo es una de los metodos mas fiables para mantener el acceso al mismo, sin dejar huellas. Las posibilidades que aporta un rootkit son infinitas, desde troyanizar el sistema de autentificacion para que de acceso a un usuario que no este presente en el archivo de contrase~as (invisible desde la vista del propio administrador), parchear un sistema de deteccion de intrusos (IDS), parchear la auditoria para que no audite las acciones de segun que usuario, etc. El mejor mtodo para detectar un rootkit es apagar el sistema que se considere infectado y revisar o salvar los datos arrancando desde un medio alternativo, como un CD-ROM de rescate o un pendrive. Un rootkit inactivo no puede ocultar su presencia. Los programas antivirus mejor preparados suelen identificar a los rootkits que funcionan mediante llamadas al sistema y peticiones de bajo nivel, las cuales deben quedar intactas. Si hay alguna diferencia entre ellas, se puede afirmar la presencia de un rootkit. Los rootkits intentan protegerse a s mismos monitorizando los procesos activos y suspendiendo su actividad hasta que el escaneo ha finalizado, de modo que el rootkit no pueda ser identificado por un detector. Un ejemplo de estas tcnicas es el programa de la firma Sony para la proteccin de CD que causa vulnerabilidades de seguridad en los sistemas que se instala, este sistema anticopia utiliza tecnicas rootkit para instalar un software sin que lo detecte el antivirus e impida copiar dicho cd.
http://www.sysinternals.com/Utilities/RootkitRevealer.html
(invisible desde la vista del propio administrador), parchear un sistema de deteccion de intrusos (IDS), parchear la auditoria para que no se audite las acciones de un determinado usuario, etc. El mejor mtodo para detectar un rootkit es apagar el sistema que se considere infectado y revisar o salvar los datos arrancando desde un medio alternativo, como un CD-ROM de rescate o una memoria USB debido a que un rootkit activo puede ocultar su presencia. Los programas antivirus mejor preparados suelen identificar a los rootkits que funcionan mediante llamadas al sistema y peticiones de bajo nivel, las cuales deben quedar intactas. Si hay alguna diferencia entre ellas, se puede afirmar la presencia de un rootkit. Los rootkits intentan protegerse a s mismos monitorizando los procesos activos y suspendiendo su actividad hasta que el escaneo ha finalizado, de modo que el rootkit no pueda ser identificado por un detector. Para detectar rootkits se utilizan herramientas que detecta: procesos, servicios, archivos, carga de drivers, drivers ocultos, libreras, la creacin de procesos, conexiones TCP/IP y entradas en el registro. Herramientas de desinfeccin: GMER: http://www.gmer.net/index.php Herramienta RootkitRevealer : http://technet.microsoft.com/en-us/sysinternals/bb897445.aspx Sophos Anti-Rootkit: http://esp.sophos.com/products/free-tools/sophos-anti-rootkit.html
Detecta los rootkits: IntoXonia, NG rootkit , rootkit Phalanx2 Soporte para archivos TCB shadow. Chequea las caractersticas de los inodos de los archivos. Testea configuracin de SSH.
Rootkit Hunter ha sido testeado en los siguientes sistemas: AIX 4.1.5 / 4.3.3, ALT Linux, Aurora Linux, CentOS 3.1 / 4.0, Conectiva Linux 6.0, Debian 3.x, FreeBSD 4.3 / 4.4 / 4.7 / 4.8 / 4.9 / 4.10, FreeBSD 5.0 / 5.1 / 5.2 / 5.2.1 / 5.3, Fedora Core 1 / Core 2 / Core 3, Gentoo 1.4/2004.0/2004.1, Macintosh OS 10.3.4-10.3.8, Mandrake 8.1 / 8.2 / 9.0-9.2 / 10.0 / 10.1, OpenBSD 3.4 / 3.5, Red Hat
Linux 7.0-7.3 / 8 / 9, Red Hat Enterprise Linux 2.1 / 3.0, Slackware 9.0 / 9.1 / 10.0 / 10.1, SME 6.0, Solaris (SunOS), SuSE 7.3 / 8.0-8.2 / 9.0-9.2, Ubuntu y Yellow Dog Linux 3.0 / 3.01. Ms informacin y descarga de Rootkit Hunter: http://sourceforge.net/projects/rkhunter/ Como detectar rootkit: http://vtroger.blogspot.com/2008/01/como-detectar-rootkit.html Rootkit y herramientas desinfeccin: http://vtroger.blogspot.com/2006/09/rootkit-y-herramientas-desinfeccin.html Los rootkit la futura amenaza: http://vtroger.blogspot.com/2006/03/los-rootkit-la-futura-amenaza.html Rootkits: http://vtroger.blogspot.com/2005/11/rootkits.html