Sé que un rootkit puede ocultar procesos del sistema operativo al engañar en el espacio del usuario. Pero, ¿puede un rootkit también modificar los metadatos de un proceso de manera tal que ni siquiera sea reconocido por una herramienta forense RAM como la volatilidad?
Estoy preguntando esto porque incluso la volatilidad tiene que buscar por un patrón o método específico para los procesos ejecutados por el sistema del que proviene el volcado de RAM.
¿Pero un rootkit también puede modificar los metadatos de un proceso de manera que ni siquiera sea reconocido por una herramienta forense RAM como la volatilidad?
La respuesta corta es, en realidad no.
Los rootkits cambian habitualmente los metadatos del proceso. Se realizan cambios cosméticos en los bits que no son vitales para el proceso en ejecución, y se realizan cambios significativos en los bits que hacen que el proceso se ejecute. Pero si realiza cambios "de una manera que ni siquiera será reconocido" a una herramienta forense, lo más probable es que haya hecho cambios de manera que no sea reconocido como un proceso por el sistema.
En otras palabras, el rootkit está restringido para que el proceso siga las reglas lo suficiente como para permitir que se ejecute, y, de la misma manera, siempre seguirá las reglas lo suficiente como para permitir que Volatility lo explore.
De hecho, gran parte de lo que hace Volatility es buscar inconsistencias que son inusuales en un proceso normal pero son exactamente el tipo de manipulación que haría un rootkit. Oh, mira, el indicador de una determinada llamada al sistema apunta al espacio del usuario, ¡no a los kernelspace como debería! Eso es un obsequio.
Ahora, dije "no realmente ..." La volatilidad tiene una serie de complementos predefinidos que siguen reglas para encontrar cosas que están fuera de lugar. ¿Es posible escribir un nuevo rootkit que no sea inmediatamente obvio para estos complementos? Por supuesto. A las personas inteligentes se les ocurren nuevos trucos todo el tiempo. Pero luego, los desarrolladores y usuarios inteligentes de Volatility encuentran estas cosas: puedes recorrer la memoria manualmente con Volatility, no estás limitado por lo que los complementos creen que deberías buscar, y escriben nuevos complementos que reconocen la nueva evasión.
El entrenamiento forense de SANS usa el lema "El malware puede ocultar, pero debe ejecutarse". Para que se ejecute, debe seguir algunas de las reglas del sistema operativo. Y cuando hace eso, se coloca en el mapa para que la volatilidad se identifique y explore.
(excepción menor: escuché historias de horror sobre el hardware que visitó China y regresó con una manipulación que lo dejó en casa sin ninguna evidencia en la memoria del sistema. Si deja que el enemigo realice cambios en su hardware, pueden ir más allá análisis de memoria. Pero ese es un club bastante raro y exclusivo.)
Lea otras preguntas en las etiquetas forensics rootkits volatility