ARTCULOS PUBLICADOS EN EL BLOG GURU DE LA INFORMTICA SOBRE ROOTKITS

VTROGER.BLOGSPOT.COM

Rootkits.
Un Rootkit es un conjunto de programas que parchean y troyanizan el sistema operativo. No hay que confundir a estos con los troyanos. Usar rootkits en el sistema objetivo es una de los metodos mas fiables para mantener el acceso al mismo, sin dejar huellas. Las posibilidades que aporta un rootkit son infinitas, desde troyanizar el sistema de autentificacion para que de acceso a un usuario que no este presente en el archivo de contrase~as (invisible desde la vista del propio administrador), parchear un sistema de deteccion de intrusos (IDS), parchear la auditoria para que no audite las acciones de segun que usuario, etc. El mejor mtodo para detectar un rootkit es apagar el sistema que se considere infectado y revisar o salvar los datos arrancando desde un medio alternativo, como un CD-ROM de rescate o un pendrive. Un rootkit inactivo no puede ocultar su presencia. Los programas antivirus mejor preparados suelen identificar a los rootkits que funcionan mediante llamadas al sistema y peticiones de bajo nivel, las cuales deben quedar intactas. Si hay alguna diferencia entre ellas, se puede afirmar la presencia de un rootkit. Los rootkits intentan protegerse a s mismos monitorizando los procesos activos y suspendiendo su actividad hasta que el escaneo ha finalizado, de modo que el rootkit no pueda ser identificado por un detector. Un ejemplo de estas tcnicas es el programa de la firma Sony para la proteccin de CD que causa vulnerabilidades de seguridad en los sistemas que se instala, este sistema anticopia utiliza tecnicas rootkit para instalar un software sin que lo detecte el antivirus e impida copiar dicho cd.

Los rootkit la futura amenaza.

En anteriores post he definido ya lo que son los rootkit, pero actualmente estn tomando dimensiones muy elevadas, un estudio de Micrsoft y la universidad de Michigan sobre la amenaza de rootkit en maquinas virtuales demuestra que al trabajar estos al nivel de maquina virtual y fuera del propio sistema se hacen indetectables, este estudio ser presentado en el simposio de IEEE sobre seguridad y aislamiento en mayo de este ao. Estas investigaciones no son nuevas ya que en las conferencias de Black Hat de enero de este ao ya se comentaba las posible aparicin de rootkits que ataquen el sistema aprovechando las instrucciones de la BIOS lo que los hacen totalmente indetectables. Existen herramientas para detectar este tipo de ataques pero su eficacia no esta en entredicho, aunque de momento la proliferacin de de los rootkit no es muy elavada y aun no se ha detectado ninguno a nivel de BIOS. Que es un rootkit: http://vtroger.blogspot.com/2005/11/rootkits.html Estudio de Micrsoft y la universidad de Michigan: http://www.eweek.com/article2/0,1759,1936666,00.asp?kc=EWRSS03129TX1K0000614 Conferencia Black Hat en la que habla de rootkit: http://www.blackhat.com/presentations/bh-federal-06/BH-Fed-06-Heasman.pdf Herramienta RootkitRevealer v1.7:

http://www.sysinternals.com/Utilities/RootkitRevealer.html

Rootkit y herramientas desinfeccin.

Los Rootkit son una amenaza que va en aumento y que hay que tener en cuenta en la seguridad informtica. Ya he definido los Rootkit en anteriores post de este blog. La compaa de seguridad Sophos lanza una potente herramienta para la deteccin de estas amenazas, que es totalmente gratuita y muy eficaz. Y para los que le gusta estudiar el comportamiento de estas amenazas, se pueden descargar el NT rootkit, hacer pruebas con el y poner en practica el Cactus Joiner. Mas informacin y descarga de Sophos Anti-Rootkit: http://esp.sophos.com/products/free-tools/sophos-anti-rootkit.html Descarga del Rootkit Nt Rootkit (sese con precaucin): http://www.hxdef.net.ru/download/hxdef100r.zip Infectar un sistema fcilmente con un troyano o con Nt Rootkit: http://vtroger.blogspot.com/2006/08/infectar-un-sistema-fcilmente-con-un.html Post anteriormente publicados sobre Rootkit Rootkit: http://vtroger.blogspot.com/2005/11/rootkits.html Los rootkit la futura amenaza. http://vtroger.blogspot.com/2006/03/los-rootkit-la-futura-amenaza.html Herramientas Anti-Rootkit: Herramienta RootkitRevealer v1.7: http://www.sysinternals.com/Utilities/RootkitRevealer.html

Como detectar rootkit.

Un Rootkit es un conjunto de programas que parchean y troyanizan el sistema operativo. No hay que confundir a estos con los troyanos. Su cdigo que en principio no es daino por s solo, usado conjuntamente con un virus, un troyano o spyware resulta muy peligroso, porque no deja huella. Las posibilidades que aporta un rootkit son infinitas, desde troyanizar el sistema de autentificacion para posibilitar el acceso a un usuario que no este presente en el archivo de contraseas

(invisible desde la vista del propio administrador), parchear un sistema de deteccion de intrusos (IDS), parchear la auditoria para que no se audite las acciones de un determinado usuario, etc. El mejor mtodo para detectar un rootkit es apagar el sistema que se considere infectado y revisar o salvar los datos arrancando desde un medio alternativo, como un CD-ROM de rescate o una memoria USB debido a que un rootkit activo puede ocultar su presencia. Los programas antivirus mejor preparados suelen identificar a los rootkits que funcionan mediante llamadas al sistema y peticiones de bajo nivel, las cuales deben quedar intactas. Si hay alguna diferencia entre ellas, se puede afirmar la presencia de un rootkit. Los rootkits intentan protegerse a s mismos monitorizando los procesos activos y suspendiendo su actividad hasta que el escaneo ha finalizado, de modo que el rootkit no pueda ser identificado por un detector. Para detectar rootkits se utilizan herramientas que detecta: procesos, servicios, archivos, carga de drivers, drivers ocultos, libreras, la creacin de procesos, conexiones TCP/IP y entradas en el registro. Herramientas de desinfeccin: GMER: http://www.gmer.net/index.php Herramienta RootkitRevealer : http://technet.microsoft.com/en-us/sysinternals/bb897445.aspx Sophos Anti-Rootkit: http://esp.sophos.com/products/free-tools/sophos-anti-rootkit.html

Detectar Rootkits en sistemas Linux/UNIX.

Ya he definido un rootkit en anteriores post, en este post voy a escribir sobre una herramienta para detectar rootkits en sistemas Linux/UNIX. Se trata de Rootkit Hunter una herramienta que detecta rootkits y exploits locales en el sistema, escaneando ficheros y directorios en busca de ficheros usados por rootkits y realizando comparaciones con testeo MD5. Entre sus caractersticas destaca:

Detecta los rootkits: IntoXonia, NG rootkit , rootkit Phalanx2 Soporte para archivos TCB shadow. Chequea las caractersticas de los inodos de los archivos. Testea configuracin de SSH.

Rootkit Hunter ha sido testeado en los siguientes sistemas: AIX 4.1.5 / 4.3.3, ALT Linux, Aurora Linux, CentOS 3.1 / 4.0, Conectiva Linux 6.0, Debian 3.x, FreeBSD 4.3 / 4.4 / 4.7 / 4.8 / 4.9 / 4.10, FreeBSD 5.0 / 5.1 / 5.2 / 5.2.1 / 5.3, Fedora Core 1 / Core 2 / Core 3, Gentoo 1.4/2004.0/2004.1, Macintosh OS 10.3.4-10.3.8, Mandrake 8.1 / 8.2 / 9.0-9.2 / 10.0 / 10.1, OpenBSD 3.4 / 3.5, Red Hat

Linux 7.0-7.3 / 8 / 9, Red Hat Enterprise Linux 2.1 / 3.0, Slackware 9.0 / 9.1 / 10.0 / 10.1, SME 6.0, Solaris (SunOS), SuSE 7.3 / 8.0-8.2 / 9.0-9.2, Ubuntu y Yellow Dog Linux 3.0 / 3.01. Ms informacin y descarga de Rootkit Hunter: http://sourceforge.net/projects/rkhunter/ Como detectar rootkit: http://vtroger.blogspot.com/2008/01/como-detectar-rootkit.html Rootkit y herramientas desinfeccin: http://vtroger.blogspot.com/2006/09/rootkit-y-herramientas-desinfeccin.html Los rootkit la futura amenaza: http://vtroger.blogspot.com/2006/03/los-rootkit-la-futura-amenaza.html Rootkits: http://vtroger.blogspot.com/2005/11/rootkits.html