Resultados 1 al 2 de 2

Tema: ROOTKIT REVEALER: Detectando ROOTKITS en WINDOWS

  1. #1 ROOTKIT REVEALER: Detectando ROOTKITS en WINDOWS 
    HH Administrator Avatar de LUK
    Fecha de ingreso
    Oct 2001
    Ubicación
    SpaÑa
    Mensajes
    4.990
    Descargas
    178
    Uploads
    246
    Esta pequeña herramienta nos permitirá detectar la presencia en nuestro sistema de cualquier MALWARE que emplee técnicas de ocultación total (FULL STEALTH)

    ROOTKIT REVEALER es una pequeña herramienta que podemos descargar gratuitamente de la página WEB de SYSINTERNALS:

    http://download.sysinternals.com/Fil...itRevealer.zip

    Pese a ello, se trata de un avanzado sistema de detección de ROOTKITS en WINDOWS.

    ROOTKITS en WINDOWS

    En los ya pasados tiempos del MSDOS no había tantos HACKERS como parece que hay ahora (heh) pero lo que si que había, y muchos, eran virus. Fueron los autores de virus quienes introdujeron por primera vez el concepto de ocultación total, FULL STEALTH.

    Los virus FULL STEALTH modificaban el sistema operativo de manera tal que era imposible detectar la presencia del intruso en el sistema: Si abrimos y leemos un fichero infectado, llega a nosotros limpio, tal y como era originalmente, sin modificación alguna, pese a que la realidad es otra muy distinta. De manera similar, leer un MASTER BOOT RECORD infectado por un virus FULL STEALTH, o lanzar un DEBUGGER contra un fichero infectado, mientras el virus está activo en memoria, nos resultará en copias limpias, idénticas a las originales, de estos objetos.

    Si cambiamos la filosofía de estos programas de "ocultar el virus" por "ocultar al HACKER" ya lo tenemos... Podríamos así definir un ROOTKIT como una o mas herramientas que permiten a un HACKER ocultar su presencia en un sistema y garantizar posterior regreso al mismo. Desde este punto de vista debemos considerar un ROOTKIT como una pieza integrada en el sistema operativo que esta, en cierta manera, por encima del administrador.

    Típicamente un ROOKIT para WINDOWS permite ocultar ficheros y carpetas, claves del registro, conexiones, procesos o usuarios/grupos. El diseño de estos programas les permite "engancharse" a determinadas funciones del sistema operativo, manipulando los resultados que estas devuelven a los programas ejecutados por los usuarios.

    Las diferentes técnicas existentes para realizar este tipo de operaciones en el sistema operativo dan lugar a tipos diferentes de ROOTKITS. ROOTKIT REVEALER se enfrenta a aquellos ROOTKIT denominados "persistentes": Este tipo de ROOTKIT se encuentra registrado en el sistema mediante algún mecanismo que permita su ejecución en posteriores encendidos de la máquina, ya sea a través de un DRIVER, un servicio del sistema o cualquier otro método de residencia. Una vez activo en memoria, el ROOTKIT procede a ocultar su presencia, con lo que ni tan siquiera el administrador del sistema podría detectar la presencia del DRIVER o del ejecutable correspondiente.


    Funcionamiento

    En primer lugar, debemos tener presente que cualquier herramienta que pretenda detectar este tipo de MALWARE se enfrentará contra "especimenes" que funcionan a nivel de sistema, como DRIVERS, y que afectan a estructuras que se encuentran a muy bajo nivel en el núcleo.

    Por consiguiente, resulta imprescindible que la herramienta de detección sea capaz, así mismo, de trabajar al nivel mas bajo, y esa es precisamente la estrategia elegida por los desarrolladores de ROOTKIT REVEALER:

    En una primera inspección, ROOTKIT REVEALER accede al sistema de archivos empleando la API de WIN32, que podríamos considerar el nivel más alto, más próximo al usuario y cuyo funcionamiento podría verse afectado por la presencia de un ROOTKIT.

    Seguidamente, ROOKIT REVEALER accede a los mismos objetos estudiados durante el paso anterior, pero esta vez empleando el nivel más bajo, mas alejado del usuario y a la vez más cercano al sistema operativo: El acceso directo a las estructuras del sistema de archivos, tal y como resultan al leerlas "a pelo".





    De la comparación de los resultados una vez concluidas estas dos etapas ROOTKIT REVEALER es capaz de extraer determinadas conclusiones. La presencia de discrepancias entre ambos resultados puede evidenciar la manipulación que un ROOTKIT puede estar haciendo de los resultados devueltos por la API de WIN32.

    De esta manera ROOTKIT REVEALER es capaz de detectar la presencia de todos los ROOTKIT para WINDOWS que conocemos, dentro del ámbito de los ROOTKITS persistentes con presencia en el sistema de archivos y ocultación de la misma.

    RETRO-ATAQUES

    Si es verdad que siempre hay una defensa para cualquier ataque, es igualmente cierto que algún otro ataque habrá contra esa defensa, y esta frase resume, en cierta manera, la historia del desarrollo de MALWARE y su enfrentamiento al desarrollo de las soluciones que lo combate.

    Con la aparición de esta herramienta los autores de ROOTKITS han dado el paso de atacarla directamente: Algunas soluciones activan o desactivan el motor de ocultación del ROOKIT según se detecte la presencia de ROOTKIT REVEALER o no.

    No obstante, este tipo de técnicas de RETRO-ATAQUE significan tan solo el primer paso por parte de los HACKERS camino a encontrar un hueco en la estrategia de detección desarrollada por los autores de ROOTKIT REVEALER.

    El siguiente paso en el desarrollo de ROOTKITS para WINDOWS irá encaminado a situarse en un nivel aún más bajo en el sistema. Esta guerra la gana quien es capaz de operar a más bajo nivel, puesto que el resto de los integrantes de la cadena deberán confiar en lo que este primer elemento diga.

    Estamos hablando de ocultar la presencia de ficheros mediante la manipulación a bajo nivel de las estructuras que conforman el sistema de archivos. Una tarea complicada, pero cosas más sorprendentes hemos visto en algunos de los "especimenes" que han pasado por nuestra "mesa de disección".

    Referencias

    ROOTKIT REVEALER
    http://www.sysinternals.com/ntw2k/fr...itreveal.shtml

    SYSINTERNALS.COM
    http://www.sysinternals.com

    ROOTKIT.COM
    http://www.rootkit.com

    MICROSOFT RESEARCH
    http://research.microsoft.com/rootkit/

    ROOTKIT EN EL NÚCLEO: YAKRK
    http://www.robota.net/article?id=986


    FUENTE: Robota.net (Oscar Gallego Sendín)
    [][][] LUK [][][]
    hackhispano.com
    Citar  
     

  2. #2  
    Moderador HH Avatar de ABODUJANA
    Fecha de ingreso
    Jun 2006
    Ubicación
    Por Tetouan
    Mensajes
    921
    Descargas
    14
    Uploads
    0
    Gracias LUK, descargado...

    La verdad es que con NOD32 y el HijackThis me va muy bien, pero nunca se sabe
    Citar  
     

Temas similares

  1. Detectando y eliminando PoisonIvy
    Por LUK en el foro MALWARE
    Respuestas: 1
    Último mensaje: 10-08-2010, 16:02
  2. problema con rootkits (Solucionado)
    Por Esertu en el foro MALWARE
    Respuestas: 17
    Último mensaje: 14-12-2008, 17:44
  3. Yahoo está detectando indetectables
    Por eduar_do en el foro INTRUSION
    Respuestas: 2
    Último mensaje: 01-06-2008, 17:41
  4. Detectando Extensiones en Firefox
    Por morza2 en el foro GENERAL
    Respuestas: 2
    Último mensaje: 24-08-2006, 07:51
  5. Detectando Internet Explorer
    Por morza2 en el foro GENERAL
    Respuestas: 1
    Último mensaje: 24-08-2006, 07:02

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •