|
|
|
[Articulo] RootKits: ese gran desconocido |
|---|
| message from JM Tella Llop [MVP Windows] on 27 Jul 2004 |
ROOTKITS - Ese gran desconocido
|
| Waldin replied to JM Tella Llop [MVP Windows] on 27 Jul 2004 |
Muchas gracias por tan estupendo artículo. ;-)
|
| ana replied to JM Tella Llop [MVP Windows] on 27 Jul 2004 |
hasta me he enterado yo, y debe ser grave porque me ha=20
gustado :-)
gracias JM
existentes para colocar una trampa explosiva en un sistema=20
con el fin de que los usuario no tengan ninguna idea de lo=20
que sucede realmente.
embargo estos conceptos estan centrados en "herramientas"=20
que se ejecutan como programas normales aunque con=20
malevolos resultados y se ocultan en los mismos lugares=20
que podemos descubrir o que un tecnico o que otro programa=20
puede ver con relativa facilidad.
pueden ser mucho mas incisivos. Cuando un hacker posee=20
conocimientos profundos de la arquitectura de un sistema=20
operativo, la completa violacion de la integridad del=20
sistema puede ser una operacion bastante trivial.
gusanos que han inundado e inundad internet: blaster y=20
sasser, Debido a una vulnerabilidad del sistema operativo,=20
se podia tomar control de nuestra maquina desde cualquier=20
otra maquina de internet de una manera manual con solo=20
saber nuestra IP. Realmente tampoco era necesario saberla=20
ya que se hacian grandes barridos de direcciones IP para=20
pillar a los incautos.
gusanos en si, salieron mas tarde o mejor dicho a=20
continuacion que Microsoft deistribuyera los parches de=20
seguridad. Los hacker suelen usar tecnicas de ingenieria=20
inversa para analizar lo parches y saber a traves de su=20
analisis en que era vulnerable el sistema operativo.=20
Sabiendo lo anterior ya solo les queda el hacer un=20
programa que explote dicha vulnerabilidad y a=20
continuacion, otro submundo de ellos, crean gusanoscomo=20
los anteriores para infectar la red. Debemos resaltar que=20
esto solo es posible en aquellas maquinas en las que el=20
usuario es lo bastante temerario como para incumplir dos=20
premisas: no usar cortafuegos y no usar laos mecanismos de=20
actualizaciones automaticas de los sistemas operativos.=20
Por desgracia y frente a los ataques e infecciones=20
masivas, podemos comprobar que los usuarios, en general,=20
cumplen estas dos premisas.
conocimiento de explotar una vulnerabilidad de este=20
estilo, junto con un conocimineto profundo del sistema=20
operativo? Esto no es en absoluto descabellado, maxime=20
cuando dichos atacantes son capaces mediante ingenieria=20
inversa de un parche el obtener la explotacion de una=20
vulnerabilidad en solamente unos dias. =BFque ocurriria si a=20
traves de una de estas vulnerabilidades nos introdujesen=20
un rootkit?
sistema operativo cae bajo el control del atacante?
las plataformas unix-linux permiten que el propio usuario=20
puede compilar (y normalmente "debe" hacerlo) el nucleo=20
del sistema operativo para generar una imagen optima para=20
su sistema.
software que sustituyen a los troyanos por binarios=20
utilizados frecuentemente por el propio sistema operativo=20
porque implican el pero compromiso posible e los=20
privilegios de la maquina atacada.
categorias:
como: login, netstat y ps, por ejemplo.
(sniffers).
de logs).
verificarlo dandonos un simple paseo por:=20
http://packetstorm.widexs.nl/UNIX/penetration/rootkits/=20
Tambien en /UNIX/misc en este mismo sitio podremos=20
encotrar algunos paquetes "interesantes".=20
notables alardeandose de haber generado versiones de=20
puertas traseras de algunas de las utilidades mas criticas=20
de la shell (entra las que se incluyen el comando "su",=20
un "ssh" troyanizado y varios "sniffers").
los sistemas actuales (XP / W2003) proviene de NT/W2000 y=20
adquirieron su propio rookit en 1999, "cortes=EDa" del=20
equipo de Greg Hoglund en http://www.rootkit.com o bien en=20
http://www.phrack.org
un prototipo de trabajo de un rootkit de windows que podia=20
ocultar claves de registro y efectuar redirecciones de=20
programas .EXE. Opciones que se pueden utilizar sin mas=20
para convertir en troyanos a archivos ejecutables normales=20
sin modificar su contenido. Todos los trucos realizados=20
por el rootkit estaban basados en la tecnica de "funcion=20
enganchada" -establecer un "hook"-. El sistema era trivial=20
parcheando un nucleo de NT / W2000 / XP de tal forma que=20
se usurpan las llamadas al sistema: por tanto, el rootkit=20
podr=E1 ocultar un proceso, clave de registro o archivo o=20
podr=E1 redirigir las llamadas a las funciones troyanas. El=20
resultado es mucho mas peligroso que el provocado por un=20
rootkit del estilo troyano: el usuario ya *nunca* podr=E1=20
estar seguro de la integridad del codigo que est=E1=20
ejecutando.
programas, ni tan siquiera en un simple "dir" (o "ls" en=20
linux), nos ha llegado la hora de arrojar la toalla:=20
realize una copia de seguridad de sus archivos de datos=20
criticos (nunca de ejecutables !), limpie completamente=20
su sistema y reinstalelo de soportes originales. No=20
confiar en las copias de seguridad ni de las imagenes=20
realizadas ya que nunca sabr=E1 en que momento el atacante=20
ha podido conseguir el control del sistema.
tomar huella digital de los archivos y hacernos saber si=20
uno de los archivos originales ha sido modificado. Sin=20
embargo, la redireccion de ejecutables realizada por=20
ciertos rootkits en el entorno windows puede anular esta=20
tactica porque el codigo en cuestion no se modifica, sino=20
solo se engancha y canaliza hacia otro ejecutable.
que pueden hacer a un usuario domestico y lo que es peor,=20
a redes corporativas, bancos, instituciones, etc.
de escucha en una red comprometida.
nuestra maquina, ser tambien cuidadosos con la seguridad=20
en la red en todos los sentidos: usar herramientas de=20
cifrado de comunicaciones, tales como Secure Shell (SSH),=20
Secure Socket Layer (SSL), correo electronico seguro=20
mediante Pretty Good Privacy (PGP) o un sistema de cifrado=20
de la capa IP como los que proporcionan los servicion VPN.=20
Esta es la unica forma realmente valida de rechazar los=20
ataques de escucha en las comunicaciones.
envergadura de estos programas maliciosos, indetectables=20
tanto ahora como en el furturo al tener el control=20
completo o poderlo tener de nuestra maquina y por tanto=20
ser capaces de enega=F1ar a cualquier otro proceso, es usar=20
el sentido comun: cortafuegos, sistemas operativos=20
rigurosamente al dia, proteccion completa de la red y=20
comunicaciones.
herramientas basicas: firewall (cortafegos) y sistema=20
operativo al dia son totalmente indispensables. Y=20
herramientas del estilo de antivirus y ad-aware que se=20
deben ejecutar, pero... =BFestos ultimos nos garantizan=20
algo?: nada en absoluto ya que efectivamente nos pararan=20
los virus conocidos. Pero por desgracia, para llegar a ser=20
conocidos, antes habran infectado millones de maquinas.=20
Por tanto, siempre, y como primera herramienta debemos=20
tener el "sentido comun": no ejecutar nada que no sea en=20
soporte original o bajado de webs oficiales (entra=F1an=20
tambien un peque=F1o riesgo). No ejecutar por tanto ningun=20
adjunto del correo. En principio, yo particularmente,=20
elimino todos los correos con adjuntos, y si se puede=20
establecer una regla en el lector de correo para ello, es=20
lo mejor. Nunca bajarse nada de las redes P2P. Existen=20
multitud de gusanos en estas redes, y el instalar=20
simplemente un programa P2P en nuestra maquina ya nos hace=20
vulnerables. Y sobre todo "sentido comun": recordemos que=20
nadie en la calle nos regala nada por nada. En la red.....=20
tampoco. Pagaremos un precio por ello.
ninguna clase, y no otorga ning=FAn derecho.
confers no rights.
|
| Fredy \(Co\) replied to JM Tella Llop [MVP Windows] on 27 Jul 2004 |
EXCELENTE!!!!!!
Y perdonen el Cross-Posting... pero creo que vlae la pena reconocer que este
tipo de artículos, por lo menos a mi... ayudan muchisimo!!!
Felicitaciones a JMT... y de corazòn espero que nunca deje de colaborarnos a
TODOS... asi algunos no lo quieran vera asi.... problema de ellos!!!
Mucha suerte..
Saludos desde Colombia...
|
| Andres Fernandez replied to JM Tella Llop [MVP Windows] on 27 Jul 2004 |
- =BFy si el enemigo ya est=E1 dentro?
Un circuito en la cpu o en un chip de la placa base, o en
los discos, podr=EDa activarse remotamente (en caso de
necesidad del imperio, claro) y dejar todos los ordenadores
inservibles.
=BFQu=E9 te parece? =BFEs m=E1s creible que la tuya?
existentes para colocar una trampa explosiva en un sistema
con el fin de que los usuario no tengan ninguna idea de lo
que sucede realmente.
estos conceptos estan centrados en "herramientas" que se
ejecutan como programas normales aunque con malevolos
resultados y se ocultan en los mismos lugares que podemos
descubrir o que un tecnico o que otro programa puede ver
con relativa facilidad.
pueden ser mucho mas incisivos. Cuando un hacker posee
conocimientos profundos de la arquitectura de un sistema
operativo, la completa violacion de la integridad del
sistema puede ser una operacion bastante trivial.
gusanos que han inundado e inundad internet: blaster y
sasser, Debido a una vulnerabilidad del sistema operativo,
se podia tomar control de nuestra maquina desde cualquier
otra maquina de internet de una manera manual con solo
saber nuestra IP. Realmente tampoco era necesario saberla
ya que se hacian grandes barridos de direcciones IP para
pillar a los incautos.
gusanos en si, salieron mas tarde o mejor dicho a
continuacion que Microsoft deistribuyera los parches de
seguridad. Los hacker suelen usar tecnicas de ingenieria
inversa para analizar lo parches y saber a traves de su
analisis en que era vulnerable el sistema operativo.
Sabiendo lo anterior ya solo les queda el hacer un programa
que explote dicha vulnerabilidad y a continuacion, otro
submundo de ellos, crean gusanoscomo los anteriores para
infectar la red. Debemos resaltar que esto solo es posible
en aquellas maquinas en las que el usuario es lo bastante
temerario como para incumplir dos premisas: no usar
cortafuegos y no usar laos mecanismos de actualizaciones
automaticas de los sistemas operativos. Por desgracia y
frente a los ataques e infecciones masivas, podemos
comprobar que los usuarios, en general, cumplen estas dos
premisas.
conocimiento de explotar una vulnerabilidad de este estilo,
junto con un conocimineto profundo del sistema operativo?
Esto no es en absoluto descabellado, maxime cuando dichos
atacantes son capaces mediante ingenieria inversa de un
parche el obtener la explotacion de una vulnerabilidad en
solamente unos dias. =BFque ocurriria si a traves de una de
estas vulnerabilidades nos introdujesen un rootkit?
sistema operativo cae bajo el control del atacante?
las plataformas unix-linux permiten que el propio usuario
puede compilar (y normalmente "debe" hacerlo) el nucleo del
sistema operativo para generar una imagen optima para su
sistema.
software que sustituyen a los troyanos por binarios
utilizados frecuentemente por el propio sistema operativo
porque implican el pero compromiso posible e los
privilegios de la maquina atacada.
categorias:
como: login, netstat y ps, por ejemplo.
(sniffers).
de logs).
verificarlo dandonos un simple paseo por:
http://packetstorm.widexs.nl/UNIX/penetration/rootkits/
Tambien en /UNIX/misc en este mismo sitio podremos encotrar
algunos paquetes "interesantes".=20
notables alardeandose de haber generado versiones de
puertas traseras de algunas de las utilidades mas criticas
de la shell (entra las que se incluyen el comando "su", un
"ssh" troyanizado y varios "sniffers").
sistemas actuales (XP / W2003) proviene de NT/W2000 y
adquirieron su propio rookit en 1999, "cortes=EDa" del equipo
de Greg Hoglund en http://www.rootkit.com o bien en
http://www.phrack.org
un prototipo de trabajo de un rootkit de windows que podia
ocultar claves de registro y efectuar redirecciones de
programas .EXE. Opciones que se pueden utilizar sin mas
para convertir en troyanos a archivos ejecutables normales
sin modificar su contenido. Todos los trucos realizados por
el rootkit estaban basados en la tecnica de "funcion
enganchada" -establecer un "hook"-. El sistema era trivial
parcheando un nucleo de NT / W2000 / XP de tal forma que se
usurpan las llamadas al sistema: por tanto, el rootkit
podr=E1 ocultar un proceso, clave de registro o archivo o
podr=E1 redirigir las llamadas a las funciones troyanas. El
resultado es mucho mas peligroso que el provocado por un
rootkit del estilo troyano: el usuario ya *nunca* podr=E1
estar seguro de la integridad del codigo que est=E1 ejecutando.
programas, ni tan siquiera en un simple "dir" (o "ls" en
linux), nos ha llegado la hora de arrojar la toalla:
realize una copia de seguridad de sus archivos de datos
criticos (nunca de ejecutables !), limpie completamente su
sistema y reinstalelo de soportes originales. No confiar
en las copias de seguridad ni de las imagenes realizadas ya
que nunca sabr=E1 en que momento el atacante ha podido
conseguir el control del sistema.
tomar huella digital de los archivos y hacernos saber si
uno de los archivos originales ha sido modificado. Sin
embargo, la redireccion de ejecutables realizada por
ciertos rootkits en el entorno windows puede anular esta
tactica porque el codigo en cuestion no se modifica, sino
solo se engancha y canaliza hacia otro ejecutable.
pueden hacer a un usuario domestico y lo que es peor, a
redes corporativas, bancos, instituciones, etc.
de escucha en una red comprometida.
nuestra maquina, ser tambien cuidadosos con la seguridad en
la red en todos los sentidos: usar herramientas de cifrado
de comunicaciones, tales como Secure Shell (SSH), Secure
Socket Layer (SSL), correo electronico seguro mediante
Pretty Good Privacy (PGP) o un sistema de cifrado de la
capa IP como los que proporcionan los servicion VPN. Esta
es la unica forma realmente valida de rechazar los ataques
de escucha en las comunicaciones.
envergadura de estos programas maliciosos, indetectables
tanto ahora como en el furturo al tener el control completo
o poderlo tener de nuestra maquina y por tanto ser capaces
de enega=F1ar a cualquier otro proceso, es usar el sentido
comun: cortafuegos, sistemas operativos rigurosamente al
dia, proteccion completa de la red y comunicaciones.
herramientas basicas: firewall (cortafegos) y sistema
operativo al dia son totalmente indispensables. Y
herramientas del estilo de antivirus y ad-aware que se
deben ejecutar, pero... =BFestos ultimos nos garantizan
algo?: nada en absoluto ya que efectivamente nos pararan
los virus conocidos. Pero por desgracia, para llegar a ser
conocidos, antes habran infectado millones de maquinas. Por
tanto, siempre, y como primera herramienta debemos tener el
"sentido comun": no ejecutar nada que no sea en soporte
original o bajado de webs oficiales (entra=F1an tambien un
peque=F1o riesgo). No ejecutar por tanto ningun adjunto del
correo. En principio, yo particularmente, elimino todos los
correos con adjuntos, y si se puede establecer una regla en
el lector de correo para ello, es lo mejor. Nunca bajarse
nada de las redes P2P. Existen multitud de gusanos en estas
redes, y el instalar simplemente un programa P2P en nuestra
maquina ya nos hace vulnerables. Y sobre todo "sentido
comun": recordemos que nadie en la calle nos regala nada
por nada. En la red..... tampoco. Pagaremos un precio por ello.
ninguna clase, y no otorga ning=FAn derecho.
confers no rights.
|
| Gabriel S. replied to JM Tella Llop [MVP Windows] on 27 Jul 2004 |
Excelente artículo, tanto por el contenido como por la redacción.
Muchas gracias.
ROOTKITS - Ese gran desconocido
|
| Packo replied to JM Tella Llop [MVP Windows] on 27 Jul 2004 |
Buen articulo, gracias master¡¡¡
ROOTKITS - Ese gran desconocido
|
| Peni replied to JM Tella Llop [MVP Windows] on 27 Jul 2004 |
Estupendo el artículo y muy didáctico. Solo falta hacer caso de esas
recomendaciones ... y es realmente fácil, eso es lo más triste.
|
| Amaury B. F. replied to JM Tella Llop [MVP Windows] on 27 Jul 2004 |
Otro para la colección !!! ;-)
Gracias JMT.
|
| Mr Big Dragon replied to JM Tella Llop [MVP Windows] on 27 Jul 2004 |
Gracias, Muy Bueno.
No es por hacerte la "choncha" pero creo que ya hay herramientas para =
luchar contra "Algunos" dise=F1os de rootkits, sin embargo no veo que lo =
menciones en tu articulo.
http://home.arcor.de/scheinsicherheit/rootkits.htm
|
| JM Tella Llop [MVP Windows] replied to Mr Big Dragon on 27 Jul 2004 |
Hay alguna m=E1s.
No las menciono porque todas se saltan con el propio rootkit. Un rootkit =
bien codificado y por alguien que se sepa bien que funciones del API =
tiene que atrapar, ser=E1 siempre indetectable.
|
| Mr Big Dragon replied to JM Tella Llop [MVP Windows] on 27 Jul 2004 |
Si, pero Aclarame algo, segun entiendo hay cierta postura
1) Se presume que los rootkits en windows no son nuevos, han estado =
desde hace mucho, producto de verdaderos Hackers "De Hueso Colorado", de =
esos que no andan alardeando por ningun lado y que se guardan sus =
secretos hasta la muerte.
-Si es cierto esto, jamas hemos tenido un sistema verdaderamente seguro =
y no hay forma de asegurarlo, es mas podria haber sistemas comprometidos =
antes y despues de cualquier amenaza de virus, un driver sin certificar =
alterado en el website del mismo fabricante nos podria dejar el regalo y =
nosotros sin saberlo es decir no solo en los "Malos lugares" se puede =
pescar un rootkit..
2) Hasta el momento no existe ningun Rootkit conocido "Estable", todos =
tienden a fallar y a "Tirar" El sistema con lo que se delatan ellos =
mismos, claro poniendo de lado el parrafo anterior, un sistema =
comprometido sera siempre un sistema comprometido, pero no se ha isolado =
ningun rootkit lo suficientemente bien hecho como para pasar =
permanentemente desapercibido.
-Si bien es cierto que se empieza a detectar cierta madurez en las =
variaciones de los rootkits para windows nadie ha visto uno que se =
sostenga lo suficiente.
Para resumen y segun lo que he leido, no hay forma de estar a salvo en =
ningun momento de los rootkits, pueden estar (Exageradamente pensando) =
en algun parche, actualizacion, Driver, programa, hoja de calculo, MP3, =
Dibujo, WAV, AVI... es decir donde sean....
Claro en el caso de linux es otra historia, segun lei, calculan que en =
Linux los rootkits ya deben ir por la 10a generacion...
|
| JM Tella Llop [MVP Windows] replied to Mr Big Dragon on 27 Jul 2004 |
Efectivamente, en Linux los rootkits est=E1n a la orden del dia y se =
calcula que hay poquisismos sistemas limpios. En windows, el primero (al =
menos en la prueba conceptual) surgi=F3 en el 99, por lo que solo llevan =
5 a=F1os frente a mas de 15 en los de unix.
De todas formas, si que hay rootkits indetectables y estables. Al menos =
en pruebas conceptuales. Y he visto unos cuantos que te los meten los =
mierdacrios en cuanto eres vulnerable a sasser, y aunque no son muy =
buenos ya que no tienen todas las funciones de deteccion activadas y se =
pueden pillar, al menos son estables y no dan la cara ni por =
malfuncionamiento ni por caidas.
Y efectivamente... lo que tu dices..... un simple driver y te lo pueden =
colar. Por desgracia contra los rootkits poco o nada podemos hacer, a =
menos que no instalemos nada que no tenga certificado...... (y por =
desgracia, los rootkits ser=E1n la proxima generacion en ataques a =
sistemas operativos....y si no, al tiempo....)
|
| ABC replied to JM Tella Llop [MVP Windows] on 27 Jul 2004 |
Gracias de nuevo!!!
|
| Alezito [MS MVP] replied to JM Tella Llop [MVP Windows] on 27 Jul 2004 |
Interesante y didactico, gracias como siempre por tu tiempo.
|
|
