Skip to content
Narrow screen resolution Wide screen resolution Auto adjust screen size Increase font size Decrease font size Default font size blue color orange color green color

WalAlm.com™

Inicio arrow :::Noticias::: arrow Los "rootkit" (seguridad)
Los "rootkit" (seguridad) PDF Imprimir E-mail
 
Escrito por Waldy Almonte, on 14-06-2007 21:45
Visitas 778    
Favoritos 35

El término "rootkit" tiene sus raíces históricas en un conjunto de utilitarios para el sistema operativo Unix que permiten elevar los privilegios del delincuente en el ordenador atacado. Al pasar el tiempo dejó de ser exclusivo del sistema operativo Unix y el término "rootkit" empezó a denominar las tecnologías de camuflaje de las acciones de determinados programas en el sistema.

Los programas del tipo "rootkit" para el sistema operativo Microsoft Windows se usan para hacer que los programas maliciosos sean invisibles a los antivirus. Los rootkits, como regla, no tienen funciones nocivas, pero otros tipos de programas nocivos los usan para ocultar sus actividades en el sistema.

Los programas del tipo spyware y en menor medida los virus, ya usan extensamente las funciones de los rootkits. La tecnología propuesta por los rootkits es muy efectiva para esconder datos.

Hacker Defender
La compañía F-Secure, fabricante de programas antivirus, da la siguiente descripción de este rootkit:

Hacker Defender es uno de los rootkits más usados en el mundo. Este rootkit funciona en el tercer anillo y realiza sus funciones modificando determinadas funciones del sistema operativo. En adición, el rootkit realiza una función conocida como backdoor, que permite administrarlo mediante una conexión TCP, usando para esto los sockets ya abiertos en el equipo de la víctima, con lo que se protege de la detección por medios clásicos como el escaneo de puertos en el equipo de la víctima.

 

Instalación
La versión de Hacker Defender que está a disposición del público en general consta de dos ficheros: el fichero ejecutable (.exe) y el fichero de configuración (.ini). El fichero de configuración se usa para determinar qué objetos debe ocultar el rootkit y contiene los nombres de determinados componentes del rootkit después de su instalación en el sistema.

La instalación de Hacker Defender exige derechos de administrador. El rootkit se registra a sí mismo en calidad de servicio NT. Durante el proceso de instalación el rootkit instala un driver (.sys) en su directorio raíz. Como resultado de la instalación en el registro del sistema aparecen dos llaves:

-HKLM\SYSTEM\CurrentControlSet\Services\[service_name]
-HKLM\SYSTEM\CurrentControlSet\Services\[driver_name]

Además, Hacker Defender garantiza su carga automática en el modo seguro, para lo cual crea dos llaves más en el registro del sistema:

-HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\[service_name]
-HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\[driver_name]

Vale decir que los patrones [service_name] y [driver_name] se pueden determinar en el fichero de configuración del rootkit (.ini).

También es necesario mencionar que los redactores estándar del registro del sistema no pueden mostrar las llaves creadas por el rootkit cuando éste está activo.

 

Tecnología de camuflaje
Hacker Defender le garantiza al delincuente el camuflaje de los procesos y ficheros predeterminados frente a los programas de defensa puestos en marcha en el sistema. La definición de lo que se puede camuflar se encuentra en el fichero de configuración del rootkit. Existe la posibilidad de camuflar los siguientes tipos de objetos:

ficheros
procesos
llaves y valores del registro
servicios y drivers NT
sectores del RAM
descriptores de objetos
conexiones TCP entrantes y salientes


Hacker Defender esconde los objetos del sistema operativo, modificando las rutas de ejecución de más de cincuenta funciones del sistema operativo en las siguientes bibliotecas:

Ntdll.dll:
kernel32.dll:
AdvApi32.dll:
Ws2_32.dll:
Como si esto fuera poco, Hacker Defender instala y carga un driver, a través del cual el rootkit puede utilizar algunas funciones del tercer anillo.

 

Tecnología de implantación

Durante su funcionamiento el rootkit se implanta en cada proceso. Para contagiar exitosamente el sistema, el rootkit debe tener privilegios de administrador. El rootkit reserva una parte de la memoria en el proceso infectado, escribe en ella todas las funciones necesarias para ocultar objetos del sistema operativo e instala un interceptor de las funciones del sistema operativo para redirigir el flujo de ejecución a las funciones correspondientes que se encuentren en la memoria reservada del proceso.

En caso de que el proceso infectado cargue cualquiera de las bibliotecas mencionadas (ver 2.2) o cree un nuevo proceso, el código que se encuentra en la parte reservada de la memoria garantiza los contagios subsiguientes.

Revisado el: 14-06-2007 22:08

Citar este articulo en un website Favoritos Enviar a un amigo Guardar en del.icio.us

Comentarios de usuarios (0)

Ningún comentario guardado

Añade tu comentario



mXcomment 1.0.7 © 2007-2008 - visualclinic.fr
License Creative Commons - Some rights reserved
< Anterior   Siguiente >
[Volver]

Login

En linea

Enlaces

Donacion

Publicidad