Post on 13-Jul-2015
El término viene de la unión de “root” y de “kit”. “Root” se
refiere al usuario con máximos derechos
en SO tipo Unix (puede ser Unix, AIX, Linux, etc), en los
cuáles tuvo sus orígenes.
Un Rootkit es una herramienta o unconjunto de ellas creadas con el objetivode "esconderse" a sí mismo y además,"esconder" otros elementos.
1
Mantener acceso y control
privilegiado.
2
Ocultar o restringir el acceso a objetos
tales como:
Procesos Archivos
Carpetas / Directorios /
Subdirectorios
Entradas de Registro
Por ejemplo, si en el sistema hay una puerta trasera
para llevar a cabo tareas de espionaje, el rootkit ocultará
los puertos abiertos que delaten la comunicación; o si
hay un sistema para enviar spam, ocultará la actividad
del sistema de correo.
Objetivos Secundarios
Ocultar los rastros de un intruso
Ocultar la presencia de procesos o aplicaciones maliciosas.
Recolección de información confidencial
Utilizar el sistema para ataques maliciosos
Cubrir las actividades dañinas como
si fueran realizadas por programas legítimos.
Objetivos
Secundarios
Ocultar la presencia de códigos que se aprovechan de las
vulnerabilidades del sistema: modificación de parches, retorno a
versiones anteriores, puertas traseras, entradas clandestinas
Guardar otras aplicaciones nocivas y actuar como servidor de recursos
para actualizaciones de bot nets (una colección de robots, o bots, que se
ejecutan de manera autónoma, formando verdaderas redes de máquinas
zombis).
Formas de Detección
1. Apagar el sistema que se considere infectado y revisar
o salvar los datos arrancando desde un medio
alternativo, como un CD-ROM de rescate o un Pen
Drive.
2. Generalmente, los rootkits pueden ser
detectados por escaneado del sistema de
archivos y de la memoria, mediante lo que
se conoce como análisis de firmas.
3. Programas que comprueban la integridad del
sistema mediante firmas. Este tipo de programas hace
firmas digitales de los programas más importantes del
sistema y cualquier modificación de estos programas
generará una firma distinta, de esta manera se detecta la
intrusión.
Para Windows Blacklight. Otra aplicación de detección para Windows
es Rootkit Revealer de Sysinternals. Detecta todos los rootkits actuales
comparando las funcionalidades del sistema operativo original con las
que se han detectado.
En Unix, dos de las aplicaciones más populares son chkrootkit y rkhunter.
Tipos Rootkits
Rootkits persistentes
Rootkits basados en memoria
Son código mal intencionado que no contienen
código persistente y por tanto no sobreviven un
reinicio.
Rootkits de modo de usuario
Rootkits de modo núcleo
un rootkit de modo de usuario intercepte todas las llamadas a las
API de Windows FindFirstFile/FindNextFile, usadas por utilidades
de exploración del sistema de archivos, que incluyen Explorador y
el símbolo del sistema, para enumerar el contenido de los
directorios del sistema de archivos..
Los Rootkits de modo núcleo son mas eficaces, debido a que no
sólo pueden interceptar la API nativa de modo núcleo, sino que
también pueden manipular directamente estructuras de datos de
modo núcleo. Una técnica frecuente para ocultar la presencia de
un proceso de código mal intencionado es quitar el proceso de la
lista de procesos activos del núcleo.
Rootkits en Windows
las DLLs Dynamic Link Library, bibliotecas de vínculos
dinámicos- son librerías compartidas, en lugar de incluir
código común en cada uno de los programas, es más
práctico "reciclarlo", de manera que funciones comunes se
almacenan en ficheros aparte.
las DLLs son cargadas al correr los programas u otras Dlls.
Sin embargo, con las dll código de inyección malicioso, e
hablamos de insertar código en el espacio de memoria de
otros programas, mediante la carga de una dll de origen
malicioso o inyectarla en procesos abiertos (DLL Hooking),
consiguiendo así pasar por el firewall.
Como Prevenir un Rootkit
Es necesario un sistema
que vigile no
únicamente la actividad
de los archivos en el
disco. En lugar de
analizar los archivos
byte a byte, debe
vigilarse lo que hacen al
ejecutarse.
AntiRootkits
TDSSKiller 2.5.20.0:elimina rootkit de la familia
Rootkit.Win32.TDSS: TDL1 , TDL2, TDL3, TDL4, TDSS, Tidserv,
TDSServ Sinowal, Whistler, Phanta, Trup, Stonedy, MBR Rootkit
y Alureon entre otros.
F-Secure BlackLight Rootkit Eliminator:
Sophos Anti-Rootkit .
RootkitRevealer : Dedicado a un tipo de malware que puede
otorgar el control del ordenador a un usuario remoto.
Ejemplo de Rootkit
Sony utilizó tecnología XCP (Extended Copy Protection) de First 4 Internet Ltd
para el control de acceso de ciertos CDs de música.
Los discos protegidos por XCP restringieron el número de copias de CDs o
DVDs que podían hacerse y también controlaron la conversión del formato de
codificación (ripping) de la música, para guardarla y escucharla en un
reproductor digital.
Así, no fue posible reproducir un CD en una PC sin instalar previamente un
software que luego esconde archivos, procesos y claves del registro
modificando el camino de ejecución de las funciones API. Hizo esto utilizando
una técnica propia de los rootkits, que modifica la tabla de servicio del sistema
(SST, System Service Table).
Que es un spyware?
Es un programa espía o es un software que
recopila información de un ordenador y después
transmite esta información a una entidad
externa sin el conocimiento o el consentimiento
del propietario del ordenador.
Que hace?
Ralentiza su ordenador, en especial si hay más de
un programa spyware en su sistema.
Cambia las configuración de su navegador u
ordenador, como la página de inicio del navegador.
Muestra publicidad en ventanas emergentes.
Controla e informa sobre las páginas Web
visitadas.
Instala otros spyware.
En algunos casos extremos, controla e informa
sobre lo que escribe en su ordenador.
Como funciona
funciona dentro de la categoría malware, que se
instala furtivamente en un ordenador para recopilar
información sobre las actividades realizadas en
éste. La función más común que tienen estos
programas es la de recopilar información sobre el
usuario y distribuirlo a empresas publicitarias u
otras organizaciones interesadas,
Como detectar un spyware
los mensajes, contactos y la clave del correo electrónico; datos
sobre la conexión a Internet, como la dirección IP, el DNS,
el teléfono y el país; direcciones web visitadas, tiempo durante
el cual el usuario se mantiene en dichas web y número de veces
que el usuario visita cada web; software que se encuentra
instalado; descargas realizadas
Como evitarlo y eliminarlos
Norton, McAfee VirusScan, Trend Micro
PC-Cillin 2004, y el Panda Antivirus
Síntomas de infección
Cambio de la página de inicio, error en
búsqueda del navegador web.
Aparición de ventanas "pop-ups", incluso
sin estar conectados y sin tener el
navegador abierto
La navegación por la red se hace cada
día más lenta, y con más problemas.
Denegación de servicios de correo y
mensajería instantánea.
Ad-Aware Free Internet Security 9.0: Elimina fácilmente archivos
espías y le ayuda a eliminarlos de forma rápida. Puede elegir los módulos
a eliminar, guardar ficheros de registro, y personalizar el menú del
programa. Incluye la detección de publicidad, escaneo automático y
posibilidad de usarlo a través de línea de comandos.
SpywareBlaster 4.4: Evita que se instalen
virus spyware, Adware ydialers. Previene la
ejecución de estos basados en ActiveX, de este
modo bloquea totalmente su entrada
previniendo acciones potencialmente
peligrosas. Se encargará de mantener
actualizada su lista de spyware peligrosos a
través de Internet y tapar las posibles entradas
del Explorer. Además permitirá realizar una
captura de su sistema para restaurarlo
momento.
SpyBot Search & Destroy 1.6.2.46: De
interfaz sencillo, busca si en su disco hay algún
software espía procediéndolo a eliminar en
forma efectiva. Además puede eliminar las
últimas páginas visitadas, los ficheros abiertos,
los cookies, etc.
Ejemplos de spyware
Adforce, Adserver, Adsmart,
Adsoftware, Aureate, Comet
Cursor, Conducent, Cydoor,
Doubleclick, Flycast, Flyswat,
Gator, GoHip, MatchLogic,
Qualcomm, Radiate, Teknosuf,
Web3000, Webferret,
Worldonline, Webhancer
BIBLIOGRAFIA
http://www.alegsa.com.ar/Notas/75.php
http://searchmidmarketsecurity.techtarget.com/definition/rootkit
http://www.baquia.com/posts/todo-sobre-los-rootkits
http://www.viruslist.com/sp/analysis?pubid=207270993
http://www.eset-la.com/centro-amenazas/articulo/-la-raiz-todos-los-males-
rootkits-revelados/1520
http://www.kriptopolis.org/el-rootkit-del-drm-de-sony-la-verdadera-historia
http://www.uned.es/csi/sistemas/secure/seguridad/docs/rootkit-win/index2.htm
http://www.seguridadpc.net/rootkits.htm
http://www.infospyware.com/antirootkits/
http://www.seguridadpc.net/antispyware.htm
http://www.masadelante.com/faqs/programas-antispyware
http://www.youtube.com/watch?v=zxm04m7PtDM
http://www.youtube.com/watch?v=t_Cl3Sqrc8M
http://www.youtube.com/watch?v=7MuRzFYbzDQ
CONCLUSIONES
Rootkits
Conjunto de herramientas que dan privilegio con la finalidad de inyectar
malware en un equipo remoto, ayudando a ocultar procesos . Existe software
que trabajan con procesos legítimos.
• Se recomienda evitar descargas de archivos de dudosa procedencia, y la
visita a paginas no seguras.
• Para eliminarlo se recomienda no iniciar con el sistema operativo o en su
caso iniciar en modo seguro, o bien como unidad externa.
Spyware
Software espía utilizado para recopilar información sin consentimiento del
usuario y enviarla a terceros con la finalidad de lucrar con ella, también existe
spyware con fines benéficos para las empresas de TI.
• Se recomienda mantener una actualización periódica del antivirus.
• Prevención con las paginas visitadas.