PRÁCTICA 1.2.INTEGRIDAD.
¿Qué es un rootkit?
Rootkit es un conjunto de herramientas usadas
frecuentemente por los intrusos informáticos o crackers que consiguen
acceder ilícitamente a un sistema informático. Estas herramientas sirven
para esconder los procesos y archivos que permiten al intruso mantener el
acceso al sistema, a menudo con fines maliciosos. Hay rootkits para
una amplia variedad de sistemas operativos, como Linux, Solaris o Microsoft
Windows.
¿En que se basan?
Tratan de encubrir a otros procesos que están
llevando a cabo acciones maliciosas en el sistema. Por ejemplo, si en el
sistema hay una puerta trasera para llevar a cabo tareas de espionaje, el
rootkit ocultará los puertos abiertos que delaten la comunicación; o si hay un
sistema para enviar spam, ocultará la actividad del sistema de correo.
Los rootkits, al estar diseñados para pasar
desapercibidos, no pueden ser detectados. Si un usuario intenta analizar el
sistema para ver qué procesos están ejecutándose, el rootkit mostrará
información falsa, mostrando todos los procesos excepto él mismo y los que está
ocultando.
O si se intenta ver un listado de los ficheros de
un sistema, el rootkit hará que se muestre esa información pero ocultando la
existencia del propio fichero del rootkit y de los procesos que esconde.
Cuando el antivirus haga una llamada al sistema operativo para
comprobar qué ficheros hay, o cuando intente averiguar qué procesos están en
ejecución, el rootkit falseará los datos y el antivirus no podrá recibir la
información correcta para llevar a cabo la desinfección del sistema.
Busca información sobre rootkit actuales en
internet.
TDSS: Su objetivo principal es el de hacerse con el
control total de los PCs infectados y utilizarlos como zombis para su red de
bots (BotNet).
Este es capaz de poder infectar todos los sistemas de Windows XP, Windows Vista y Windows 7 en 32bit y 64bit respectivamente, al trabajar también como Bootkit (MBR Rootkit) infecta el sector de arranque del disco duro, lo que hace que se cargue un código malicioso antes del inicio del sistema operativo. TDSS utiliza una función de infección de drivers que garantiza su inicio y funcionamiento en las etapas más tempranas del funcionamiento del sistema operativo.
Este es capaz de poder infectar todos los sistemas de Windows XP, Windows Vista y Windows 7 en 32bit y 64bit respectivamente, al trabajar también como Bootkit (MBR Rootkit) infecta el sector de arranque del disco duro, lo que hace que se cargue un código malicioso antes del inicio del sistema operativo. TDSS utiliza una función de infección de drivers que garantiza su inicio y funcionamiento en las etapas más tempranas del funcionamiento del sistema operativo.
Sinowal: Pertenecen a una clase de Malwares que atacan directamente al MBR (Master Boot
Record) que es el encargado de informarle al sistema operativo que archivo
se deberá cargar en el inicio del proceso de arranque.
Para tomar el control del arranque del sistema y cargarse en memoria de forma permanente y sin ser detectado fácilmente, el malware usa técnicas Rootkit y de esta forma modifica o reemplaza el MBR original por uno que el mismo genera para dificultar su detección y posterior desinfección.
Además de ocultar su presencia en el sistema, el MBR Rootkit instala una puerta trasera en Windows(Backdoors), la que se encarga de establecer conexiones no autorizadas con servidores remotos para enviar información personal como por ejemplo, datos de cuentas bancarias, etc.
Para tomar el control del arranque del sistema y cargarse en memoria de forma permanente y sin ser detectado fácilmente, el malware usa técnicas Rootkit y de esta forma modifica o reemplaza el MBR original por uno que el mismo genera para dificultar su detección y posterior desinfección.
Además de ocultar su presencia en el sistema, el MBR Rootkit instala una puerta trasera en Windows(Backdoors), la que se encarga de establecer conexiones no autorizadas con servidores remotos para enviar información personal como por ejemplo, datos de cuentas bancarias, etc.
Whistler: el equipo comienza a reproducir música solo o de
golpe se nos baja el volumen. Es también conocido como “Black Internet” y ataca
a todas las versiones de Windows desde 2000 hasta la reciente Server 2008 y
Windows 7 (32 y 64bits), sumando funciones más complejas como la capacidad de
infectar el “Master Boot Record”. Una vez que el equipo es infectado por esté,
queda a total disposición de su atacante pudiéndolo convertirse en parte de
una Botnet, entre otras cosas…
Al
activarse desde la MBR (Master Boot Record), el bootkit se asegura la
infección del equipo antes del arranque del sistema operativo, pudiendo
ejecutarse desde cualquier dispositivo de almacenamiento (USB, CD, DVD, etc.).
Esto significa que no se verán rastros en los sistemas operativos (procesos en
memoria por ejemplo) ya que los bootkits no realizan modificaciones directas
sobre este y puede pasar inadvertidos tranquilamente, ya que generalmente
poseen la capacidad de correr a bajo nivel (a nivel del kernel).
También
existen otros como: Phanta, Trup o Stoned.
Utiliza sfc para comprobar la integridad de tu
sistema Windows.
Utilizamos el comando: para cmd como
Administrador: sfc /scannow
Aquí vemos el resultado de la comprobación de mi
Windows:
Utiliza rkhunter para verificar la integridad de tu
sistema Ubuntu.
Iniciamos Ubuntu y lo primero de todo desde un
terminal debemos instalar rootkit mediante el comando: sudo aptitude install rkhunter
Antes de ejecutarlo debemos actualizarlo como todo
software de seguridad a su versión más actual: sudo rkhunter -–update
Para su ejecución sobre el sistema usaremos: sudo rkhunter --checkall
Comprobamos ahora los resultados del examen:
Una vez instalado, procedemos a actualizar a la
versión más actual:
Y ejecutamos para comprobar el resultado del
análisis: