| Home | Suscribirse | Anunciarse | Contactenos

 Suscribete Gratis via:

RSS RSS   email EMAIL   twitter TWITTER

Rootkits

Los Rootkits son programas del kernel que tienen la habilidad de esconderse ellos mismos y de cubrir las huellas dejadas por el atacante para evitar ser detectado. Los Rootkits son mayormente usados para ver y tener acceso a nombres de usuarios y password.

También pueden esconder procesos, archivos, todo lo que se escribe en el teclado (Keyloggers), virus, gusanos, troyanos, redirigir archivos con extensión .EXE y ser usados como puertas traseras (backdoors). Las puertas traseras le permiten al atacante comenzar procesos o aplicaciones con privilegios de administrador.

Los Rootkits funcionan con privilegios de sistema a nivel del kernel, lo cual le permitiría a un atacante tener acceso a todos los recursos de un Sistema Operativo.

Detectar rootkits es un problema serio, si un sistema es infectado con un rootkit ya no se puede confiar en el SO de ese sistema.

Los 3 principales tipos de Rootkits:

1. Kernel-level rootkits – estos rootkits añaden y/o remplazan porciones de código del kernel para ayudar a esconder puertas traseras, keyloggers, virus, etc. en el sistema comprometido. Esto se logra a través de módulos cargables (loadable module) en los SO Linux y a través del device driver en los SO Windows. Estos rootkits son considerados peligrosos porque son difíciles de detectar si no se tiene la aplicación o programa apropiado.

2. Library-level rootkits - estos rootkits le ayudan al hacker a esconder información que podría ser usada para detectarlo o identificarlo. Esto se logra remplazando llamadas de sistema (system calls) con versiones que esconden esa información.

3. Application-level rootkits - estos rootkits remplazan código binario de aplicaciones o programas regulares con troyanos falsos. También pueden modificar el comportamiento de aplicaciones existentes inyectando código nuevo o modificado.

Herramientas Rootkits:

Rootkit: Fu - Este programa funciona manipulando objetos directos del kernel. Sus componentes principales el dropper (fu.exe) y el driver (msdirectx.sys). Descargar Rootkit FU

Rootkit: AFX Rootkit 2005 - Este rootkit de código abierto creado en Delphi usa inyecciones de código y literalmente engancha (hook) API nativas de Windows para esconder procesos, módulos, archivos, puertos, el registry, etc. Descargar AFX Rootkit 2005

Rootkit: Nuclear – programa le permite al usuario esconder o modificar algunos recursos en SO basados en NT (NT/2000/XP/2003). Descargar programa: Descargar Rootkit Nuclear

Herramientas para detectar Rootkits:

Blacklight - este programa, de la corporación F-Secure Corp. encuentra archivos escondidos por los rootkits y le permite al usuario a borrarlos. Esta herramienta realiza un escaneo a profundidad en el sistema afectado. Descargar Blacklight

RootkitRevealer - esta avanzada herramienta desarrollada por la corporación Sysinternals Corp. Ahora adquirida por Microsoft, detecta toda clase de Rootkits, incluyendo los kernel-levels. Descargar Rootkit Revealer

Microsoft Malicious Software Removal Tool - esta herramienta desarrollada por Microsoft, detecta y remueve programas maliciosos como rootkits instalados en SO Windows. Después del escaneo genera un reporte describiendo los detalles del mismo. Descargar Microsoft Malicious Software Removal Tool

Rootkit Detector - Esta utilidad proporciona información acerca de procesos y servicios ocultos por rootkits de NT como Hacker Defender (rootkit.host.sk) no detectadas por software antivirus una vez se han instalado en el sistema puesto que una vez que un hacker ha conseguido penetrar en su máquina nada le impide matar los procesos antivirus e instalar una rootkit haciendo sus pasos y sus programas sean prácticamente indetectables.

Después de identificar handles ocultos, rootkit Detector intentara matar dichas tareas y re-escanear el sistema para identificar servicios y claves ocultas en el registro (Run, runOnce,...) que hayan podido ser instaladas por hackers. Descargar Rootkit Detector

Rootkit Detector
RootkitDetector

Nota Final: - Un sistema que ha sido infectado con un rootkit es considerado no confiable. Si su sistema es infectado con un rootkit, se recomienda que se hagan copias de resguardo (back up) de información critica y reinstale el SO y sus programas de una fuente confiable. Otra manera de protegerse es usar la utilidad de MD5 checksum para comparar archivos y asegurarse de su integridad. El MD5 checksum se asegura de que un archivo no haiga sido cambiado o alterado.

 

©2008-2011 www.WiseDataSecurity.com. Todos los derechos reservados. | Home | Suscribirse | Anunciarse | Contactenos

Programado y Mantenido por: Milan Computer Services