ROOTKITS en Linux


Una de las primeras acciones que lleva a cabo un intruso, una vez ingresa a un sistema, es instalar un rootkit, el cual facilita el control de la máquina desde ese momento en adelante. Dichas herramientas presentan un gran riesgo para los administradores y, por tanto, es de vital importancia conocer sus alcances, funcionamiento y los mecanismos que existen para detectarlos.





Los Rootkits fueron descubiertos a mediados de los '90. En aquella época, los administradores de sistema del sistema operativo Unix de SUN comenzaron a ver un comportamiento extraño en el servidor, la falta de espacio de disco, ciclos extra en la CPU y las conexiones de red que no se mostraba con el comando netstat.

1. Qué son exactamente.

Los Rootkits son herramientas que permiten esconder actividades intrusas dentro de un sistema, después de que un intruso ha logrado penetrar en él. Además, proveen al atacante de vías de acceso ocultas para utilizar nuevamente el sistema en futuras oportunidades. El nombre Rootkit se origina a partir de la idea de que quien lo utiliza puede acceder fácilmente al nivel de root, o de administrador del sistema, una vez la herramienta ha sido instalada.

2. Qué tipos hay.

De acuerdo a la teconología empleada, existen tres clases principales de Rootkits disponibles hoy:
Kits binarios: alcanzan su meta substituyendo ciertos ficheros del sistema por sus contrapartes Troyaneadas.
Kits del núcleo: utilizan los componentes del núcleo (también llamados módulos) que son reemplazados por troyanos.
Kits de librerías: emplean librerías del sistema para contener Troyanos.

3. En qué se basan

El principio operativo de los rootkits es el de reemplazar archivos de programa del sistema con versiones modificadas, para que se ejecuten determinadas operaciones. A estas versiones modificadas se les conoce con el nombre de troyanos. Un rootkit es, en esencia, una colección de programas troyanos.

4. Objetivo

El objetivo de los troyanos es imitar exactamente el comportamiento de las aplicaciones originales, pero escondiendo los archivos, acciones y evidencias del intruso. En otras palabras, una vez instalado el rootkit, en principio, el intruso podrá utilizar el sistema sin ser detectado por el administrador. Sin embargo, actualmente existen métodos para detectar la presencia de rootkits dentro de un sistema.

5. Qué ficheros suelen los intrusos troyanizar

Algunos son:

login, su, telnet, netstat, ifconfig, ls, find, du, df, libc, sync,

así como los binarios listados en /etc/inetd.conf.

6. Algunos Rootkits

Solaris rootkit, FreeBSD rootkit, lrk3, lrk4, lrk5, lrk6, t0rn (and t0rn v8), some lrk variants, Ambient's Rootkit for Linux (ARK), Ramen Worm, rh[67]-shaper, RSHA, Romanian rootkit, RK17, Lion Worm, Adore Worm, LPD Worm, kenny-rk, Adore LKM, ShitC Worm, Omega Worm, Wormkit Worm, dsc-rootkit.

DETECTANDO ROOTKITS

A. Existen maneras de diferenciar los ejecutables legítimos de los troyanos mediante el uso de algoritmos de chequeo de suma. Dichos algoritmos, como el MD5 checksum, garantizan que la única forma de que el resultado de la suma sea igual para dos archivos, es que los dos archivos sean perfectamente idénticos. De esta forma, un administrador precavido debe almacenar los checksum de su sistema en dispositivos externos, tales como CD's, para poder, más adelante, identificar rootkits comparando dichos números con los generados por un programa de chequeo en un momento determinado.

A). Una herramienta diseñada para este fin es Tripwire, el cual mantiene control de integridad sobre los archivos del sistema. Esta herramienta se encuentra disponible para sistemas Unix/Linux en http://www.tripwire.org.

B). Otra manera para detectar la posible existencia de rootkits es realizar escaneos de puertos desde otros equipos, con el fin de detectar puertas traseras que estén escuchando en puertos que normalmente no se utilizan. También existen demonios especializados, como rkdet para detectar cualquier intento de instalación de un rootkit y, de ser posible, impedirlo y avisar al administrador del hecho.

C). Otra herramienta es Chkrootkit (http://www.chkrootkit.org/), que es un shell script que busca en nuestro sistema binarios modificados por rootkits.

Entre otras tareas Chkrootkit revisa localmente rastros de rootkits incluyendo detección de:

rootkits LKM
ifpromisc.c: para revisar y ver si la interface de red está en modo promiscuo
chklastlog.c: para revisar lastlogs por las tachaduras
chkkwtmp.c: para revisar wtmp por las tachaduras

Algunas herramientas antirootkits recomendadas para su instalación:

Chkrootkit
Rkhunter
Unhide

Fuente:
http://www.linux-party.com



Otras noticias de interés:

Neutralidad de la Red
La neutralidad de la red es un libro de Jose Alcántara. Las consecuencias negativas de eliminar la neutralidad de la Red son muchas y diversas. La menor de ellas no es la de la eliminación de toda esa meritocracia emergente, dejando de nuevo el pod...
Proyecto Portland o el mejor desktop Linux
No es la primera vez que se pretende acercar KDE y Gnome, tarea ya de por sí difícil, pero esta vez no es una empresa privada la que lo intenta, si no un grupo más o menos abierto....
¿Qué son los formatos abiertos y propietarios?
Todos los datos que nosotros procesamos, cada documento que escribimos en nuestra PC, cada imagen o foto que tengamos guardada en nuestro disco, o en nuestra cámara o celular debe seguir ciertas especificaciones para que pueda ser guardada, y luego ...
Cómo se marcan las redes inalámbricas sin protección para Hacking
Una nueva moda se esta extendiendo en el mundo "underground", el acceso gratuito a Internet aprovechando las redes inalámbricas de empresas y domicilios. ¿Tienes en tu domicilio o empresa, una red inalámbrica Wifi y has...
Una nueva tecnología de seguridad en Firefox bloquea los ataques web
Mozilla, responsable del desarrollo del navegador Firefox, ha anunciado una nueva versión del navegador, aún en fase de pruebas, que incluye una nueva tecnología diseñada para bloquear la mayoría de los ataques web....
Ataque masivo a miles de sitios webs
Se ha encontrado gran cantidad de sitios conocidos y confiables (incluso mucho de ellos educativos, gubernamentales y de la lista Fortune 500) que apuntan a scripts hosteados en sitios chinos y que permiten la descarga de archivos ejecutables dañino...
Presentaciones de Black Hat DC 2009 disponibles
Publicadas las presentaciones y algunos videos sobre Black Hat DC 2009 llevada a cabo en Washington DC el pasado 17 y 18 de febrero....
#Google denuncia dominios similares a Youtube
Google ha dado los primeros pasos para cerrar una serie de dominios con nombres que imitan a Youtube, como Youtub, Youtbe o Yutube. Estas páginas pertenecen a la misma persona y se utilizan para realizar una falsa encuesta en nombre del portal de v...
Automatización en ataques de phishing
Los procesos delictivos son cada vez más amplios y cualquier actividad que implique cierto grado de interacción entre la tecnología utilizada y una persona, constituye un potencial blanco para algún tipo de ataque....
Herramienta de eliminación de software malintencionado de MSWindows
La Herramienta de eliminación de software malintencionado de Microsoft Windows busca infecciones causadas por software malintencionado específico que actualmente existe (como Blaster, Sasser y Mydoom) en equipos con Windows XP, Wi...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • rootkits
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra