01110010011011110110111101110100011010110110100101 ......void hablar(Contenido) {si ( Contenido[0]...

01110010011011110110111101110100011010110110100101110100

01110010011011110110111101110100011010110110100101110100

01110010011011110110111101110100011010110110100101110100

01110010011011110110111101110100011010110110100101110100

01110010011011110110111101110100011010110110100101110100

011100000111001001101111011001110111001001100001011011010110000101110011011010010111001101110100011001010110110101100001

01110010011011110110111101110100011010110110100101110100

01110010011011110110111101110100011010110110100101110100

01110010011011110110111101110100011010110110100101110100

01110010011011110110111101110100011010110110100101110100

01110010011011110110111101110100011010110110100101110100

01110010011011110110111101110100011010110110100101110100

01110010011011110110111101110100011010110110100101110100

01110010011011110110111101110100011010110110100101110100

include (presentacion.inc);

If (presentacion)

estado = “susto”;

if (estado && Conferencista)If (presentacion) {

version_presentacion(“1.0”);attribute:”Conferencista”,value:”Andrès Ricardo Almanza”;attribuite:”Contenido”, value: String(“

if (estado && Conferencista)comienza_presentacion();

comienza_presentacio() {

1. Introducción2. Definiciones

3. Rootkits4 Tipologías

{

for (i =1; i< Tiempo; i++) hablar(Contenido);

4. Tipologías5. Protección6. Retos7. Conclusiones

if (presentacion != “Buena”)exit(0);

if (preguntas == “Dificil”)it(0)8. Referencias“)

exit(0);}

# Comienza presentación

exit(0);else

contestar; return(0);

}

[email protected] 2

# Comienza presentación

Tiempo= 3600;

}

void hablar(Contenido) {si ( Contenido[0] != “1. INTRODUCCION” ) exit(0); /** PANORAMA GENERAL **/l {

Aumentan considerablemente el malware por año.

else {slide() {

printtf(“%s”,” printf(“%g”,

pDos variables dentro de las premisas del nuevo

malware.Sofisticación, Epidemias

Se pasa de ataques entusiastas, a fraude colectivo.p q ,Se atacan todo lo que tenga un bit.

Dispositivos móviles, implantes subcutáneos,redes sociales.

Se ensanchan las brechas entre protección einfecciónSegún CSI. Las infecciones son mayores y generan

mayores perdidas a las organizaciones, y al común delas personas o usuarios de casa

[email protected] 3“); );

printf(“%g”, printf(“%g”,

[email protected] 4); ); return(0); }}}

void hablar(Contenido) {si ( Contenido[0] != “2. DEFINICIONES” ) exit(0); /** FAMILIAS HARDWARE X86 **/l {else {slide() {

printtf(“%s”,” printf(“%g”,

Las familias X86 poseen estructuras de anillos

Anillo 0: Mayores privilegios, utilización derecursos y privilegios de la máquina. Sinrestricciones al acceso de la memoria

Anillos 1, 2: Todo lo que necesita lamáquina para trabajar. Drivers

Anillo 3: Menores privilegios, donde seencuentran las aplicaciones Conencuentran las aplicaciones. Conrestricciones al acceso de la memoria


/** SISTEMAS OPERATIVOS **/printf(“%f”,” printf(“%g”,

Elementos interconectados que

Se comunican a través de interfaces

Poseen un shell

S l ió h d

Aplicaciones Usuarios

Se relación con un hardware

Integración con muchos elementos

Sistema Operativo

Interfaces

Admon ProcesosAdmon Archivos

AdmonDispositivos

Admon Memoria

Admon ProcesosAdmon Archivos

SeguridadRedes

Shell

Interfaces


Hardware

/** AMBIENTES *NIX **/printf(“%g”,”

LibreríasProgramas del

UsuarioNivel de USUARIO

Nivel del KERNEL Interfaces de llamados al sistema

Subsistema de Archivos

Buffer Cache

ComunicaciónInterprocesos

S b i

Nivel del KERNEL

Buffer Cache

Caracter Bloque

Controladores de dispositivosAdministrador

Memoria

SchedulerSubsistemaControl deProcesos

Control de Hardware

Hardware

Nivel del KERNEL

“);

Nivel del HARDWARE

/** AMBIENTES W* **/printf(“%g”,”

Procesosdel sistema

Servicios Aplicacionesde usuario

Subsistemasde Apoyo

Subsistema de DLL – NTDLL.DLL

Nivel de USUARIO

Nivel del KERNEL

Despachador de servicios del sistema

Kernel (llamado a interfases) Controlador de dispositivos

GráficasY Ventanas

Capa de abstracción del hardware

“);

Adaptado de: Russinovich y Salomon. 2009. Windows internals. Microsoft Press.

/** MALWARE y Ciclo de Vida de Un Ataque* **/printf(“%s”,” printf(“%g”,

Malware: Software malicioso.Termino utilizado para relacionartodos los tipos de ataques queexisten en la actualidadexisten en la actualidad.Características propias del Malware

Daño, destrucción,modificación, alteración,ocultación dentro de unocultación dentro de unsistema afectado.

Virus, Troyanos, Spyware,Worms, Dialers, Backdoors.D d l í d lDentro de las categorías delmalware.

“); ); return(0); }}}

void hablar(Contenido) {si ( Contenido[0] != “3. ROOTKIT” ) exit(0); /** QUE SON y QUE NO SON **/l {

Root: usuario con mayor privilegios en un sistema,

else {slide() {

printtf(“%s”,” printf(“%s”,

No son un virus, wormRoot: usuario con mayor privilegios en un sistema,originalmente de los mundos *NIX, administrador en el losmundo W.

Kit: Conjunto de herramientas.

Roorkit: “Conjunto de herramientas o programas que le

No son un virus, worm

Ellos mismo no buscan hacer daño dentro delsistema

No se utilizan como exploits para atacarmáquinasRoorkit: Conjunto de herramientas o programas que le

permiten tener acceso a la cuenta de mayor privilegios root. Conjunto de programas y código que permite permanecerde manera indetectable en un sistema “

Se utilizan en las fases post intrusion

máquinas

Se utilizan en las fases post intrusion

Existen en la mayoría de plataformas modernas. *nix, W*,MAC y demás.

Su característica principal es el modo “STEALTH”.

H i t d difí il d t ió difi il ióHerramientas de difícil detección, dificil remoción

[email protected] 10“); “);

/** SERVICIOS QUE OFRECEN, QUE AFECTAN **/printf(“%s”,” printf(“%g”,”

Sirven para:

Comando y Control: (C2).Manipular el sistema

Monitoreo:Monitoreo:

Invisibilidad: No dectectable.Afectan:

“); “);

void hablar(Contenido) {si ( Contenido[0] != “8. RETOS Y CONCLUSIONES” ) exit(0); else {slide() {slide() {

printtf(“%s”,”

Si bin no es una amenaza nueva, si muy peligrosa por lo que involucraNuestras medidas de proteccion pueden ser suceptibles ataques, Modelos de la memoriap p p q ,Es una herramienta complemento, no en si un ataque por lo tanto puede pensarse que no es necesaria sudeteccionTener ambientes como los Bootkits, o como los Rootkits en ambientes virtuales hacen ver que es unaamenaza que se transforma para afectar tendencias modernas de la tecnologia.q p gEl futuro de este tipo de amenazas no esta escrito, hoy se trabaja en buscar ser mas persintente enmatener un rootkit sin ser detectadoMecanimos fortalecidos de atenciòn de incidentes pueden ayudar en un post estudio de un analisis deeste tipo de amenazaspLa presencia de estas amenazas en todos los ambientes lo hace una herramienta muy poderosa a la quedebe prestarsele atenciòn.Sin decir que las herramientas no funcionen, es necesario ser cuidadoses con las herramientas que seutilizan, no todos los rootkits, son detectables por todas las herramientas, ejemplo de ello son los rootkitsde kernel.

void hablar(Contenido) {si ( Contenido[0] != “8. REFERENCIAS” ) exit(0); else {slide() {slide() {

printtf(“%s”,”

Levine, John G. et al. “A Methodology to Characterize Kernel Level Rootkits Exploitsthat Overwrite the System Call Table”. IEEE. 2004. <http://ieeexplore.ieee.org/iel5/9051/28706/01287894.pdf >Locally checks for signs of a rootkit. 01 Mar 2007. 28 Feb 2007. <http://www.chkrootkit.org/>Locally checks for signs of a rootkit. 01 Mar 2007. 28 Feb 2007. http://www.chkrootkit.org/Red-database-Security in the news/press. 23 Jan 2007. Red-Database-Security GmbH. 1 Mar 2007.

< http://www.red-database-security.com/wp/db_rootkits >Rootkit. 5 March 2007. Wikimedia Foundation Inc.26 Feb 2007.

<http://en.wikipedia.org/wiki/Rootkit>Rootkits how to combat them. 1996 - 2007. Kaspersky lab. 29 Feb 2007.

<http://www viruslist com><http://www.viruslist.com>What is a rootkit? . 2 Mar 2007.

<http://www.tech-faq.com/rootkit.shtml>Zaytsev, Oleg. Rootkits, Spyware/Adware, Keyloggers and Backdoors: Detection and Neutralization. A-List Publishing, Sep 1 2006.Beck, M et al. Linux Kernel Programming. 3rd ed. London: Addison Wesley, 2002. Cesare, Silvio. “Runtime Kernel Patching.” 03 Mar 2007.< http://www.uebi.net/silvio/runtime-kernel-kmem-patching.txt >Chuvakin Anton An Overview of Unix Rootkits iDefense Labs: Feb 2003 <Chuvakin, Anton. An Overview of Unix Rootkits. iDefense Labs: Feb 2003. <www.rootsecure.net/content/downloads/pdf/unix_rootkits_overview.pdf >Hoglund, Greg, Jamie Butler. Rootkits: Subverting the Windows Kernel. Addison Wesley Professional: Upper Saddle River, NJ, 22July 2005.King, Samuel T. et al. SubVirt: Implementing malware with virtual machines. Mar 01 2007. < www.eecs.umich.edu/virtual/papers/king06.pdf>K b t Al d “O l R tkit 2 0” Bl k H t 2006 USA L V NV 02 A 06 htt // d d t bKornbrust, Alexander. “Oracle Rootkits 2.0”. Black Hat 2006 USA, Las Vegas, NV. 02 Aug 06. < http://www.red-database-security.com/wp/oracle_rootkits_2.0.pdf >

/***BIBLIOGRAFIA ***/

Windows System Internals 4th Edition– D. Solomon, M. RussinovichWindows System Internals 4 Edition D. Solomon, M. RussinovichRootkits – G. Hoglund, J. ButlerPrimary Windows Rootkit Resource http://www.rootkit.comJoanna Rutkowska – Stealth Malware Detection http://www.invisiblethings.orgF-Secure Blacklight http://www.f-secure.com/blacklight/Sysinternals http://www.sysinternals.comRootkit Detectorhttp://www rootkitdetector com/Rootkit Detectorhttp://www.rootkitdetector.com/Hoglund, Greg and James Butler. Rootkits: Subverting the Windows Kernel. Stoughton, MA: Addison-Wesley, 2006Davis A. Michael, Bodmer M. Sean, LeMsters Aaron. Hacking Malware & Rootkit Exposed. McGrawHill. 2010Reberend Bill Blunded, The Rootkit Arsenal, Wordware. 2009“Sony, Rootkits and Digital Rights Management Gone Too Far”. Mark Russinovich.http://www.sysinternals.com/blog/2005/10/sony-rootkits-and-digital-rights.htmlRootkit en software comercial http://www microsoft com/technet/sysinternals/blog/2006/01/rootkits in commercial software htmlRootkit en software comercial .http://www.microsoft.com/technet/sysinternals/blog/2006/01/rootkits-in-commercial-software.htmlSymantec Admits Rootkit Usage in SystemWorks. http://www.realtechnews.com/posts/2478http://www.eweek.com/c/a/Security/Symantec-Caught-in-Norton-Rootkit-Flap/Rootkits, la raíz de todos los males. http://www.eset-la.com/threat-center/1520--la-raiz-todos-los-males-rootkits-reveladosAPI: Application Programming Interface. http://es.wikipedia.org/wiki/Application_Programming_InterfaceAPI Hooking Revealed. http://www.codeguru.com/Cpp/W-P/system/misc/article.php/c5667I i ibilit NT b htt // tl /lib/ hf00 ht lInvisibility on NT boxes. http://vx.netlux.org/lib/vhf00.htmlRootkit Hacker Defender. http://es.wikipedia.org/wiki/Hacker_DefenderADS. http://prog-asm.blogspot.com/2007/10/alternate-data-stream-caracteristicas.htmlBootRoot. http://research.eeye.com/html/tools/RT20060801-7.html. http://www2.gmer.net/mbr/Rootkit en el sector de arranque ¿otra vez?. http://blogs.eset-la.com/laboratorio/2008/01/14/rootkit-sector-arranque/Sitio personal de Joanna Rutkowska. http://invisiblethings.org/

01110010011011110110111101110100011010110110100101 ......void hablar(Contenido) {si ( Contenido[0]...

Documents

Transcript of 01110010011011110110111101110100011010110110100101 ......void hablar(Contenido) {si ( Contenido[0]...