Programas y utilidades Anti-Rootkit.

Estado
Cerrado para nuevas respuestas

Lestat

Ex- Mod
Miembro
#1
LOS ROOTKITS

*Definición de "rootkit":

Los Rootkits son herramientas que permiten ocultar actividades "intrusas" dentro

de un sistema, lógicamente, después de que un intruso haya logrado acceder a él. Además, proveen al atacante de vías de acceso ocultas para utilizar nuevamente el sistema en futuras ocasiones.

El nombre Rootkit se origina a partir de la idea de que quien lo utiliza puede acceder fácilmente al nivel de root, o de administrador del sistema, una vez la herramienta ha sido instalada.


*Clases de "rootkits":

De acuerdo a la tecnología empleada, existen tres clases principales de "rootkits":

1. Kits binarios: alcanzan su objetivo sustituyendo ciertos ficheros del sistema por sus contrapartes infectadas con troyanos.

2. Kits del núcleo: utilizan los componentes del núcleo (también llamados módulos) que son reemplazados por troyanos.

3. Kits de bibliotecas: emplean las Bibliotecas de Vínculos Dinámicos Dynamic Link Libraries - DLL) del sistema para "insertar" Troyanos.


*En qué se basan:

El principio operativo de los rootkits es el de reemplazar archivos de programa del sistema con versiones modificadas para que se ejecuten determinadas peraciones. A estas versiones modificadas se las conoce con el nombre de troyanos. Un rootkit es, en esencia, un conjunto de programas troyanos.

*Objetivo:

El objetivo de los troyanos es imitar exactamente el comportamiento de las aplicaciones originales, pero escondiendo los archivos, acciones y evidencias del intruso. En otras palabras, una vez instalado el rootkit, en principio, el intruso podrá utilizar el sistema sin ser detectado por el administrador. Sin embargo, actualmente existen métodos para detectar la presencia de rootkits dentro de un sistema.

*Qué archivos suelen infectar:

login, su, telnet, netstat, ifconfig, ls, find, du, df, libc, sync, así como los

binarios listados en /etc/inetd.conf.


*Algunos "rootkits":

Solaris rootkit, FreeBSD rootkit, lrk3, lrk4, lrk5, lrk6, t0rn (and t0rn v8), algúnas variantes lrk, Ambient's Rootkit for Linux (ARK), Ramen Worm, rh[67]-shaper, RSHA, Romanian rootkit, RK17, Lion Worm, Adore Worm, LPD Worm, kenny-rk, Adore LKM, ShitC Worm, Omega Worm, Wormkit Worm, dsc-rootkit.

*Detectar "rootkits":

A. Existen maneras de diferenciar los ejecutables legítimos de los troyanos

mediante el uso de algoritmos de chequeo de suma. Dichos algoritmos, como el MD5 checksum, garantizan que la única forma de que el resultado de la suma sea igual para dos archivos, es que los dos archivos sean perfectamente idénticos. De esta forma, un administrador precavido debe almacenar los checksum de su sistema en dispositivos externos, tales como CDs/DVDs, para poder, más adelante, identificar rootkits comparando dichos números con los generados por un programa de chequeo en un momento determinado.


B. Otra manera para detectar la posible existencia de rootkits es realizar escaneos de puertos desde otros equipos, con el fin de detectar puertas traseras

(backdoors) que estén escuchando en puertos que normalmente no se utilizan o abrir el Administrador de Tareas y comprobar los procesos que se encuentran en ejecución.



También existen programas especializados, como RootkitRevealer, RkFiles y GMER, para detectar posibles "rootkits" en el PC. Es aconsejable que el informe que generen estos programas "anti-rootkit" sea revisado por un experto.


C. Programas específicos "anti-rootkit":

BlackLight Beta de F-Secure


BitDefender RootkitUncover


Sophos Anti-Rootkit


 
Estado
Cerrado para nuevas respuestas
Arriba Pie