ROOTKIT
Un RootKit es un programa o conjunto de programas que un intruso usa para
esconder su presencia en un sistema y le permite acceder en el futuro para
manipular este sistema.
Para completar su objetivo, un Rootkit altera el flujo de ejecucin del sistema
operativo o manipula un conjuntos de datos del sistema para evitar la auditoria.
Windows es diseado con seguridad y estabilidad en mente. El ncleo (kernel)
debe ser protegido de las aplicaciones de usuario, pero estas aplicaciones
requieren cierta funcionalidad desde el kernel.
Para proveer esto Windows implementa dos modos de ejecucin: modo usuario y
modo kernel. Windows hoy solo soporta esos dos modos, aunque las CPU Intel y
AMD soportan cuatro modos de privilegios o anillos en sus chips para proteger el
codigo y datos del sistema de sobreescrituras maliciosas o inadvertidas por parte
de cdigo de menor privilegio.
Originalmente el trmino RootKit proviene de sistemas Unix y haca referencia a
pequeas utilidades y herramientas que permitan acceso como "root" de esos
sistemas.
El trmino ha evolucionado y actualmente es un conjunto de herramientas
utilizadas en cualquier sistema para conseguir acceder ilcitamente al mismo.
Generalmente se los utiliza para ocultar procesos y programas que permiten
acceso al sistema atacado, incluso tomar control de parte del mismo.
Es importante remarcar que un Rootkit no es un Malware en s mismo pero,
debido a que es utilizado ampliamente para ocultar los mismos, muchas veces se
lo considera incorrectamente como programa daino.
Actualmente, incluso son utilizados por ciertas empresas para controlar
componentes del sistema y permitir o denegar su utilizacin. Hay que remarcar
que el uso de estos programas es ticamente incorrecto (o incluso ilegal), ya que
se hace sin la autorizacin expresa del usuario.
En los sistemas operativos Windows, un rootkit es un programa que penetra al
sistema e intercepta las funciones del sistema (Windows API). Un rootkit puede
esconder su presencia en el sistema con xito interceptando y modificando las
funciones del API de nivel bajo. Adems un rootkit suele ocultar ciertos procesos,
directorios, archivos, y claves de registro. Muchos rootkits instalan sus driver y
servicios
(son
invisibles
tambin)
al
sistema.
�Kaspersky Lab ha desarrollado la herramienta TDSSKiller que puede eliminar los
rootkit conocidos (TDSS, Sinowal, Whistler, Phanta, Trup, Stoned) y
desconocidos.
La herramienta tiene la interfaz grfica. Soporta los sistemas operativos de 32 y
64 bit.
El objetivo principal de un rootkit no es necesariamente acceder al directorio raz
del sistema anfitrin, si bien pueden incluir programas diseados para obtener ese
tipo de acceso administrativo. Preferentemente, su objetivo es habilitar al intruso
para mantener y aprovechar un punto dbil no detectado en el sistema.
Sin embargo, algunos autores hacen una distincin entre rootkits y conjuntos de
herramientas para modo oculto (Stealthkits). Segn ellos, un rootkit podra
definirse como un conjunto de herramientas con funcionalidades que incluyen
instrumentos para administrar el
directorio
principal del
sistema.
Sin embargo, este trabajo se dirige a un determinado nmero de componentes y
tipos de rootkits, en vez de aferrarse a una nica y pura mirada de lo que es y no
es un rootkit. Este acercamiento est basado no slo en mantener claridad sino
tambin las realidades y multiplicidades de las amenazas vistas en el mundo real.
Los
objetivos
secundarios
de
un
rootkit
pueden
ser:
- Ocultar los rastros de un intruso en una computadora "rooteada" (comprometida).
-
Ocultar
la
presencia
de
procesos
aplicaciones
maliciosas.
- Cubrir las actividades dainas como si fueran realizadas por programas
legtimos.
- Ocultar la presencia de cdigos que se aprovechan de las vulnerabilidades del
sistema: modificacin de parches, retorno a versiones anteriores, puertas traseras,
entradas
clandestinas.
- Recoleccin de informacin a la que un intruso no podra tener acceso o acceso
total de otra manera. Esto podra incluir datos acerca del sistema comprometido,
del
trfico
de
la
red
y
cualquier
otro.
�- Utilizar al sistema comprometido como intermediario para llevar a cabo otras
intrusiones
y/o
ataques
maliciosos.
- Guardar otras aplicaciones nocivas y actuar como servidor de recursos para
actualizaciones de botnets (una coleccin de robots, o bots, que se ejecutan de
manera autnoma, formando verdaderas redes de mquinas zombis).
TIPOS DE ROOTKIT
Los rootkits se pueden clasificar en dos grupos: los que van integrados en
el ncleo y los que funcionan a nivel de aplicacin. Los que actan desde el kernel
aaden o modifican una parte del cdigo de dicho ncleo para ocultar el backdoor.
Normalmente este procedimiento se complementa aadiendo nuevo cdigo al
kernel, ya sea mediante un controlador (driver) o un mdulo, como los mdulos del
kernel de Linux o los dispositivos del sistema de Windows. Estos rootkits suelen
parchear las llamadas al sistema con versiones que esconden informacin sobre
el intruso. Son los ms peligrosos, ya que su deteccin puede ser muy
complicada.
Los rootkits que actan como aplicaciones pueden reemplazar los archivos
ejecutables originales con versiones crackeadas que contengan algn troyano, o
tambin pueden modificar el comportamiento de las aplicaciones existentes
usando hacks, parches, cdigo inyectado, etc.
Ejemplos
Algunos troyanos han utilizado estos rootkits no-persistentes (FU Rootkits)
que cargan en la memoria una vez que ellos se encuentran instalados.
SuckIT
Adore
T0rn
Ambient's Rootkit (ARK)
Hacker Defender
First 4 Internet XCP (Extended Copy Protection) DRM
RkU Test Rootkit & Unreal1
Rootkit de ncleo : UACd (Agrega un driver de muy bajo nivel llamado
UACd.sys)
Rootkits de Macintosh
ANTIROOTKITS PARA WINDOWS
RootKit Hook Analizador
RootKit Hook Analyzer es una herramienta de seguridad que comprobar si hay
algunos rootkits instalados en el equipo que se conectan a los servicios del
sistema kernel. Kernel RootKit Ganchos se instalan mdulos que interceptan los
principales servicios del sistema que todos los programas y el sistema operativo
confan. Si cualquiera de estos servicios del sistema son interceptados y modificar
esto significa que hay una posibilidad de que la seguridad de su sistema est en
riesgo y que el spyware, virus o malware estn activos.
MALWAREBYTES ANTI-ROOTKIT
Malwarebytes Anti-Rootkit (MBAR) es una herramienta diseada para detectar y
eliminar las formas sofisticadas y sigilosas de malware llamado Rootkits. Los
rootkits son formas ocultas de malware que los antivirus tradicionales
normalmente no pueden detectar o eliminar.
GMER ANTIROOTKIT 2.1
GMER Antirootkit free es una sofisticada, gratuita y potente herramienta (ARK)
recomendada por InfoSpyware, capaz de detectar y eventualmente eliminar este
tipo de malwares capaces de ocultarse en las entraas de nuestro sistema, mejor
conocidos como Rootkits.
�BOOTNET
Un "bot" es un tipo de programa malicioso que permite a un atacante tomar el
control de un equipo infectado. Por lo general, los bots, tambin conocidos como
"robots web" son parte de una red de mquinas infectadas, conocidas como
botnet, que comnmente est compuesta por mquinas vctimas de todo el
mundo.
Debido a que un equipo infectado por bots cumple las rdenes de su amo, muchas
personas se refieren a estos equipos vctima como zombis.Los delincuentes
cibernticos que controlan estos bots son cada vez ms numerosos.
Algunos botnets pueden englobar cientos o un par de miles de equipos, pero otros
cuentan con decenas e incluso centenares de miles de zombis a su servicio.
Muchos de estos equipos se infectan sin que sus dueos se enteren. Existe
algn indicio? Un bot puede hacer que su equipo funcione ms lento, muestre
mensajes misteriosos e, incluso, falle.
Los bots representan uno de los delitos cibernticos ms sofisticados y populares
de hoy en da. Permiten a los hackers tomar el control de muchos equipos a la vez
y convertirlos en equipos "zombis", que funcionan como parte de un poderoso
"botnet" que propaga virus, genera spam y comente otros tipos de delitos y
fraudes.
Los bots representan uno de los delitos cibernticos ms sofisticados y populares
de hoy en da. Permiten a los hackers tomar el control de muchos equipos a la vez
y convertirlos en equipos "zombis", que funcionan como parte de un poderoso
"botnet" que propaga virus, genera spam y comente otros tipos de delitos y
fraudes.
FORMACION DE UNA BOTNET
En los sistemas Windows la forma ms habitual de expansin de los "robots" suele
ser en el uso de cracks y archivos distribuidos descargados con algn tipo de
cliente P2P. Este tipo de software suele contener malware el cual, una vez el
�programa se ejecuta, puede escanear su red de rea local, disco duro, puede
intentar propagarse usando vulnerabilidades conocidas de Windows, etc.
En otros entornos como UNIX, GNU/Linux o BSD la forma ms clsica de ataque
a servidores para construir y expandir una Botnet es por telnet o SSH por medio
del sistema prueba-error: probando usuarios comunes y contraseas al azar
contra todas las IPs que se pueda de forma sistemtica o bien mediante ataques
a bugs muy conocidos, que los administradores pueden haber dejado sin
enmendar.
Las Botnets normalmente usan servicios gratuitos de DNS para IP's dinmicas
como DynDns.org, No-IP.com, & Afraid.org para apuntar a un subdominio al cual el
creador puede conectarse en caso que le cierren el servidor de IRC. En muchas
ocasiones basta con avisar a estos proveedores para que cancelen su cuenta y de
esta manera desarticular la Botnet completa.
Afortunadamente la estructura de servidores de la botnet tiene vulnerabilidades
inherentes a su arquitectura. Por ejemplo, si se encuentra el servidor de IRC y el
canal, se tiene acceso a la botnet completa, con lo cual al servidor de IRC le basta
con cerrar el canal o poner una g-line o k-line a las ips que intenten entrar a dicho
canal.
No obstante existen construcciones ms refinadas de estas botnets que tienen
una lista de servidores alternativos en caso que pase esto. Otras veces, en
cambio, los bots estn configurados con un dominio, el cual puede cambiar
fcilmente de destinacin (IP) para guiar al botnet al server preferido en ese
momento, sin depender de configuraciones anteriores.
El control de la botnet se haca normalmente a travs del IRC, pero nuevas
versiones de estas botnets han evolucionado hacia control mediante HTTP, con lo
que la deteccin de estas redes es ms compleja. Esto hace que las redes de
empresas sean ms vulnerables tambin, ya que el trfico de IRC queda
bloqueado.
Adicionalmente algunos spammers tienen su propio servidor de IRC donde son los
dueos y, posiblemente, haga falta ser operador de la red para ver los canales,
hacer whois, o ver alguna informacin til. Cabe decir que en muchos casos estos
servidores suelen funcionar en el equipo de una de las vctimas pero teniendo el
control total el atacante.
CMO FUNCIONAN LOS BOTS
�Los bots se introducen sigilosamente en el equipo de una persona de muchas
maneras.Los bots suelen propagarse por Internet en busca de equipos vulnerables
y desprotegidos a los que puedan infectar. Cuando encuentran un equipo sin
proteccin, lo infectan rpidamente e informan a su creador.Su objetivo es
permanecer ocultos hasta que se les indique que realicen una tarea.
Una vez que un bot toma el control de un equipo, se puede utilizar para realizar
varias tareas automatizadas, como las siguientes:
Enviar
Robar
DoS (denegacin de
Fraude
mediante
clics
Envan
- spam
- virus
- software
espa
Roban informacin privada y
personal y se la comunican
al usuario malicioso:
- nmeros de tarjeta de
crdito
- credenciales bancarias
- otra informacin personal
y confidencial
Lanzan ataques de denegacin
de servicio (DoS) contra un
objetivo especfico. Los
criminales cibernticos
extorsionan a los propietarios
de los sitios web por dinero, a
cambio de devolverles el control
de los sitios afectados.
Los estafadores
utilizan bots para
aumentar la
facturacin de la
publicidad web al
hacer clic en la
publicidad de
Internet de manera
automtica.
servicio)
Sin embargo, los sistemas de
los usuarios diarios son el
objetivo ms frecuente de estos
ataques, que slo buscan
molestar.
PROTECCIN CONTRA BOTS
Para obtener proteccin contra los bots maliciosos, los expertos en seguridad de
Symantec aconsejan:
1. Instale un software de seguridad de primera clase (como Norton 360)
o Norton Internet Security.
2. Configure el software para que se actualice de manera automtica.
3. Aumente las configuraciones de seguridad de su navegador.
4. Limite los derechos de usuario cuando est en lnea.
5. Nunca haga clic en los archivos adjuntos, a menos que pueda verificar su
origen.
6. Asegrese de que su sistema tenga las revisiones ms recientes
de Microsoft Windows Update.
�7. Configure los parmetros de seguridad de su equipo para que se actualicen
automticamente,
a
fin
de
asegurarse de tener siempre los parches ms recientes del sistema.
TRABAJO DE BASES DE DATOS II
ROOTKIT & BOTNET
PRESENTADO POR:
YEISON BERMUDEZ
INGENIERIA DE SISTEMAS
VALLEDUPAR-CESAR
UNIVERSIDAD POPULAR DEL CESAR
2015
