Title: RootKits
1RootKits La amenaza oculta
Pablo Iglesias Morales ingpim01_at_ucv.udc.es
Facultad de Informática Universidad de A
Coruña Lunes, 2 de Mayo de 2008
2Qué vamos a aprender?
- Detección
- Prevención y buenas prácticas
- Caso práctico
- Definiciones
- Un poco de historia
- Tendencias
- Rootkits en
- la Plataforma Windows
Índice
3Rootkit se refiere a ...
Conjunto de herramientas que permiten el acceso a
un equipo o red a nivel de administrador
ps, netstat, ls y passw
Técnicas que ocultan, de forma activa, su
existencia y sus acciones a usuarios y a otros
procesos del sistema
Influencia de MS Windows
Definiciones
4Una rootkit no es un...
Virus Programas que se replican
AUTOMÁTICAMENTE y que pueden ocultar información
confidencial, bloquear los recursos del sistema,
destruir información o realizar otros actos
malignos.
Troyanos Programas que parecen aplicaciones de
software inofensivas o incluso útiles a simple
vista, pero que en su interior albergan código
malintencionado. Aunque los troyanos NO SE AUTO
REPLICAN, pueden hacer que un equipo infectado
descargue otro malware que sí lo haga.
Gusanos Malware que se replica mediante la
distribución de copias a través de una red
compartida, una unidad USB, etc, a menudo de
forma autónoma, SIN necesidad de INTERVENCIÓN
HUMANA.
PUP (Potentially Unwanted Programs) Aunque se
parecen a los troyanos y a otro software maligno
en que suelen apoderarse de información
confidencial y privada, son diferentes, ya que se
instalan y ejecutan con la APROBACIÓN tácita DEL
USUARIO.
Definiciones
5Un poco de historia ...
1986 -gt Brain Primer virus para PC.
Interceptaba las interrupciones del sector de
arranque y redirigía las operaciones de lectura a
otro sector del disco.
1987 -gt Lehigh Rápida neutralización tras su
lanzamiento debido a que no utilizaba técnicas de
ocultación.
Conciencia La longevidad de un virus
dependía esencialmente de las técnicas de
ocultación
1991 -gt Tequila / 1993 -gt 1689 Stealth Uso de
técnicas para ocultar el aumento de tamaño de los
archivos.
Mediados de los 90 gt Punto de inflexión Porqué?
Historia
6 La aparición de Windows 95 trajo la inmunidad a
los virus DOS y un breve período de inactividad
en cuanto a innovación de técnicas de
ocultación. Los autores de virus tuvieron que
aprender a utilizar las interfaces de
programación de aplicaciones de Windows (API) y
la arquitectura de memoria protegida.
2001 -gt NTrootkit / 2003 -gt HackerDefender Fin
de la tregua. Estos troyanos se "enganchaban" al
sistema operativo en un nivel muy bajo de
llamadas a funciones, lo que les permitía ocultar
su presencia.
Es tan fácil como....
Cambiar el nombre de un archivo infectado de
forma que parezca un archivo legítimo del sistema
o del usuario. El troyano scvhost.exe o
svehost.exe puede residir en el directorio
system32 de Windows junto al archivo original
llamado svchost.exe. Del mismo modo, puede
ejecutarse un troyano llamado svchost.exe desde
los directorios Windows o WINNT.
Historia
7Y con la llegada de Internet...
Para los malos nuevas vías de propagación y
proporcionó millones de víctimas potenciales
Bueno para todos
Para los buenos nuevos métodos de detección a
través de la red en tiempo real con sistemas de
prevención de intrusiones (IPS) y otros
dispositivos de supervisión del tráfico para
vigilar los síntomas que revelan la presencia de
actividad maligna.
Existen los buenos? Quiénes son?
Historia
831 de Octubre de 2005
Mark Russinovich descubre que el software de
gestión de derechos digitales de Sony BMG,
Extended Copy Protection (XCP) hace uso de
tecnologías de ocultación que exponían a los
equipos a posibles ataques. XCP incorpora una
implementación de controlador de dispositivo que
incluye privilegios a nivel de kernel. Este
controlador oculta archivos y procesos de gestión
de derechos digitales para que el usuario no
pueda desactivarlos y realizar copias ilegales de
archivos de música. Para conseguir esta
protección, se escribió código kernel que
ocultaba cualquier archivo, carpeta o proceso que
comenzara por la cadena "sys"
Noviembre 2005 W32/Brepibot , cuya presencia se
comunicó en noviembre de 2005 y que se propaga
a través de canales Internet Relay Chat (IRC),
aprovechan esta vulnerabilidad.
Otros casos Symantec (NTProtect)
Kaspersky(iStreams)
Historia
9Entonces...Cuáles son los objetivos de las
Rootkits?
Ocultar los rastros de la entrada de un intruso
en el ordenador
Ocultar la presencia de procesos o aplicaciones
maliciosas
Ocultar las actividades dañinas como si fueran
realizadas por programas legítimos
Objetivos
10Entonces...Cuáles son los objetivos de las
Rootkits? (II)
Ocultar la presencia de exploits, backdoors
Almacenar información a la que un intruso no
podría tener acceso de otra manera
Utilizar al sistema comprometido como
intermediario para llevar a cabo otras
intrusiones y/o ataques maliciosos
Objetivos
11Por qué tienen éxito?
Porque están presentes en troyanos, malware y pup
Motivo esfuerzos conjuntos de investigación en
línea
Tendencias
12Por qué tienen éxito? (II)
Porque cada vez son más sofisticados
Factor de complejidad número de archivos que
forman la rootkit
Tendencias
13Por qué tienen éxito? (III)
Porque romper Windows es un reto
Desafío Gran número de APIs no documentadas
Tendencias
14Por qué tienen éxito? (IV)
Porque también están presentes en software legal
A tener en cuenta también han convencido a los
proveedores de software comercial
Tendencias
15Por qué tienen éxito? (V)
Porque lo puede hacer cualquiera
Factores fácil acceso al código kits de
creación gratuitos
Tendencias
16Parte II Análisis de la plataforma Windows
17Conceptos previos
- La arquitectura i386 admite cuatro anillos, o
niveles de privilegios,(numerados del 0 al 3)
- Los anillos 0 y 3 son empleados para la
seguridad de los procesos y los datos.
- Las aplicaciones de usuario solicitan recursos
del kernel del sistema operativo y del hardware.
- Para comunicarse con el kernel, las aplicaciones
en modo de usuario utilizan llamadas API Win32.
- La transferencia del control desde el modo de
usuario al modo de kernel se efectúa a través de
una función especial del procesador.
Conceptos previos
18La rootkit debe alterar el flujo de ejecución
normal para conseguir que prospere su
implementación de ocultación (Hooking)
Conceptos previos
19Rootkits en modo de usuario
- Pasan desapercibidos para el Administrados de
Tareas
- Su efectividad depende de su habilidad para
ocultarse
- Dependen de APIs de Windows documentadas que se
emplean habitualmente en utilidades, depuradores,
herramientas de desarrollo, ...
Tipos de rootkits
20Métodos de Inyección
A través de extensiones de aplicaciones
Proporciona acceso al espacio de direcciones del
proceso
A través de filtros de mensajes de Windows
Uso de SetWindowsHookEx para interceptar eventos
del sistema
A través de vulnerabilidades de aplicaciones
Diversos métodos de comunicación Multiplica
las posibles vías de ataque
Tipos de rootkits
21Cómo se interceptan los mensajes?
Intercepción de la tabla de direcciones de
importación (IAT)
Cada vez que se ejecuta una llamada a la API de
destino, se ejecuta el rootkit
Tipos de rootkits
22Cómo se interceptan los mensajes? (II)
Intercepción de funciones en línea
Las llamadas del proceso pasan primero por la
rootkit
Tipos de rootkits
23Rootkits en modo kernel
- La utilizan habitualmente aplicaciones
legítimas, como controladores de dispositivos
del sistema y programas antivirus.
- Objetivo operar en modo de kernel con
privilegios de sistema
Se hace más difícil su detección y eliminación
- Mediante la instalación de un controlador de
dispositivo en modo de kernel, consiguen que su
código se cargue en el espacio de direcciones del
kernel
- Son complejas y poco compatibles, por lo que su
popularidad no ha sido mayor que las rootkits en
modo usuario
Tipos de rootkits
24Modificación de la tabla de descriptores de
servicios del sistema (SSDT)
- Aproximadamente el 50 de los rootkits
observados en circulación implementan este
técnica.
Puede ser detectada por la mayoría de los
analizadores de memoria
Tipos de rootkits
25Entonces...Cómo sabemos si tenemos una Rootkit?
Las herramientas tradicionales de monitorización
no son fiables
Monitorización externa Sniffers (1)
Análisis forense detección Offline (2)
Análisis estadísticos estudios de bajo nivel (3)
Comparación de resultados
(1) NTRootkit
(2) Sistema de ficheros propio
(3) PatchFinder2
Detección
26Para protegernos deberíamos de...
Instalar una solución anti-rootkit y ACTUALIZARLA
periódicamente
Instalar un firewall que proteja de accesos no
autorizados al ordenador
Mantener las aplicaciones instaladas en el
ordenador siempre actualizadas, instalando los
parches de seguridad proporcionados por los
fabricantes
Prevención
27Ejemplo
Requisitos -gt Windows 2000/XP/2003 -gt
Rootkit Hacker Defender 1.00 2004 Capacidad
de ocultación de espacio libre en disco y
conexiones. bdclient.exe para comunicarse con
el atacante.
28 Configuración (hxdef100.ini) - Hidden table
Almacena la lista de ficheros ocultos por la
rootkit. - Root proccess Procesos que podrían
acceder a todos los recursos, aunque estén
ocultos. - Hidden services Esntradas de
servicios ocultas en el sistema. - Hidden
Regkeys Entradas de registro ocultas (claves de
los programas que hemos instalado en el
sistema) - Hidden regvalues Como lo anterior,
pero para valores. - Startup run Tiene la misma
funcionalidad que la clave run del registro.
Inicia programas ocultos al ejecutarse la
rootkit - Free space Se puede configurar que
cada unidad muestre un número de bytes extras en
el espacio libre para que no sospeche de la falta
de espacio en disco por nuestras herramientas. -
Hidden ports Oculta puertos locales abiertos
para que no se detecten aplicaciones que están
escuchando en puertos, como pueda ser un servicio
ftp o un netcat. - Settings Configuración del
nombre de servicio y contraseña.
Ejemplo
29Ejecución
hxdef100.exe -Installonly Se genera un nuevo
servicio -gt Hacker defender100
Ejemplo