¿Cómo se sabe si tienen un rootkit?

24

¿Son imposibles de detectar? Al ver que el atacante tiene derechos de administrador y podría modificar un software antivirus que de otro modo se podría usar para detectar o burlar un kit raíz. ¿Hay ciertas banderas rojas que apuntan a un kit de raíz? ¿Pueden ver todo lo que haces?

    
pregunta DBroncos1558 21.10.2013 - 19:08
fuente

2 respuestas

24

Un "rootkit" normalmente intenta realmente no ser detectado. Sin embargo, en teoría, no puede ser completamente indetectable, ya que el objetivo del rootkit es mantener una ruta de entrada para el atacante, de modo que al menos el atacante pueda saber si el kit raíz está en su lugar o no.

Se han utilizado muchos métodos en el pasado. Por ejemplo, algunos rootkits se instalan en la memoria del kernel y no dejan rastro en el disco duro, por lo que son muy difíciles de detectar, pero desaparecerán en el próximo reinicio. Más comúnmente, los rootkits modifican algunos archivos o partes del disco para resistir los reinicios, pero luego tienen que alterar el kernel para que sus modificaciones no sean visibles desde los procesos en la máquina.

Entonces, básicamente, si el rootkit hace su trabajo correctamente, entonces no podrá detectarlo desde la propia máquina. Usted podría descubrirlo si reinicia su máquina en un CD en vivo o en una llave USB, y desde ese sistema operativo (se presume que está limpio), inspeccione el disco duro. Si los mismos archivos no parecen idénticos, cuando se inspeccionan desde afuera (el sistema operativo se inicia en un CD en vivo) y desde adentro, entonces esto es un signo bastante definido de juego sucio.

Todo esto supone que el rootkit es bueno en lo que debe hacer. Hay una serie de rootkits inexpertos (o atacantes inexpertos) que dejarán huellas. Por ejemplo, archivos extraños en el directorio de inicio de la raíz (o administrador).

Un rootkit tiene sentido en situaciones en las que el atacante obtuvo el control total de su máquina; El trabajo del rootkit es mantener este nivel de control. El atacante puede ver todo lo que haces en la máquina, y mientras el rootkit esté activo, podrá seguir viendo todo lo que haces en la máquina.

(El término "rootkit" también se ha aplicado a herramientas de escalado , es decir, herramientas que aprovechan las vulnerabilidades locales para transformar un acceso de nivel de usuario en un acceso completo de nivel adin en la máquina. Mismo resultado : la máquina ya no es su máquina.)

    
respondido por el Thomas Pornin 21.10.2013 - 19:19
fuente
11
  

¿Hay ciertas banderas rojas que apuntan a un kit de raíz? ¿Pueden ver todo lo que haces? Soy nuevo en seguridad, por favor sea fácil.

Cierto para los rootkits en general, no. Sin embargo, como Thomas ya ha señalado, los rootkits deben dejar un rastro de entrada para un atacante, es decir, el código de usuario del atacante debe poder hablar de algún modo con el rootkit.

Para darte algunos ejemplos de cómo puedes lograr esto:

  • Implemente un dispositivo /proc personalizado con un nombre de aspecto importante, digamos /proc/gpuinfo . Bueno, eso es un poco obvio, pero tienes la idea: en un punto final de comunicación a través de /proc (procfs es un sistema de archivos de metadatos en Linux que te permite comunicarte con la zona del usuario) o /sys o /dev que normalmente no lo haría. estar allí, pero que un administrador de sistemas piense es normal.

    Si miras los registros de rkhunter, lo verás buscando estos.

  • Modifique la entrada de uno de los elementos anteriores para responder a algo que normalmente no respondería. La mayoría de las entradas de dispositivos responden a diferentes códigos y les dicen que hagan algo. Esto es especialmente cierto en /dev . Agregue un código oscuro a esto como su mecanismo de comunicación.

    En los sistemas Windows, puede lograr lo mismo con los controladores de filtro, o parcheando el objeto controlador del objetivo, haga su elección (pero los controladores de filtro son más estables).

    Un mecanismo de detección sería probar códigos de dispositivos falsos en dispositivos que no responden (normalmente) a estos. Si obtiene algo más que el código de error "No implementado" en su sistema, algo extraño está sucediendo.

  • Al montar la unidad del sistema en una PC diferente, se obtiene un tamaño de sistema de archivos diferente al que usted espera, o archivos que no pudo ver antes. Tenga en cuenta que el diferente tamaño del sistema de archivos no es en sí mismo un síntoma de un rootkit, ya que algunas ediciones de Windows todavía utilizan la geometría del disco y ... sí, no se asusten de inmediato, pero una en el rootkit salvaje no puedo recuerda el nombre de crear un sistema de archivos cifrado al final de tu volumen NTFS, encogiendo fácilmente tu disco por ti. De manera similar, un comportamiento de rootkit común es eliminar las entradas de archivos que aparecen en el sistema operativo en el sistema en vivo (para ocultarlas).

Desafortunadamente, no hay banderas rojas genéricas para los rootkits en general, la batalla es más gato y ratón. Tan pronto como los autores de rootkits se den cuenta de que los escáneres son capaces de detectar un tipo de canal de comunicación o un enlace, cambiarán de estrategia.

  

¿Pueden ver todo lo que haces?

El rootkit en el término tiendo a considerarlo, es decir, un ataque a nivel de kernel cuyo propósito es mantener la intrusión en su sistema generalmente podrá, sí, ya que el kernel gestiona todo el sistema y el rootkit tienen el mismo privilegio. Hay algunas defensas; Windows moderno y algunas distribuciones de Linux aplican controladores / módulos de kernel firmados y pueden hacer cumplir esto. Esto mueve el vector de ataque a la secuencia de inicio (antes de que el kernel tenga la oportunidad de imponer algo), cuyo inicio seguro de UEFI está diseñado para abordar.

No preguntaste esto, pero de todos modos voy a hacer el punto. Por lo general, a menos que su política de sistema sea un poco insana, la inserción de módulos / controladores del kernel requiere derechos de administrador. Por lo tanto, para instalar un rootkit, el atacante debe realizar un ataque de escalada de privilegios en primer lugar. Hacer todo lo posible para garantizar que esto no ocurra es la forma de defenderse contra los rootkits.

Aparte 1: los rootkits no tienen que estar en la tierra del kernel, ni los malware tipo intercepción. Es posible lograr esto sin los controladores del kernel. Si el usuario en cuestión no es un administrador, el daño suele ser más limitado.

    
respondido por el user2213 21.10.2013 - 21:18
fuente

Lea otras preguntas en las etiquetas