RootKits La amenaza oculta

Click here to load reader

download RootKits La amenaza oculta

of 29

  • date post

    03-Jan-2016
  • Category

    Documents

  • view

    47
  • download

    0

Embed Size (px)

description

RootKits La amenaza oculta. Pablo Iglesias Morales ingpim01@ucv.udc.es. Facultad de Informática Universidad de A Coruña Lunes, 2 de Mayo de 2008. ¿Qué vamos a aprender?. * Detección * Prevención y buenas prácticas * Caso práctico. * Definiciones * Un poco de historia * Tendencias - PowerPoint PPT Presentation

Transcript of RootKits La amenaza oculta

  • RootKitsLa amenaza ocultaFacultad de InformticaUniversidad de A CoruaLunes, 2 de Mayo de 2008Pablo Iglesias Moralesingpim01@ucv.udc.es

  • Qu vamos a aprender?* Definiciones* Un poco de historia* Tendencias* Rootkits en la Plataforma Windows* Deteccin* Prevencin y buenas prcticas* Caso prcticondice

  • Conjunto de herramientas que permiten el acceso a un equipo o red a nivel de administrador Tradicionalmente: Root+kit ps, netstat, ls y passwDefinicionesTcnicas que ocultan, de forma activa, su existencia y sus acciones a usuarios y a otros procesos del sistema Actualmente:Influencia de MS WindowsRootkit se refiere a ...

  • * PUP (Potentially Unwanted Programs)Aunque se parecen a los troyanos y a otro software maligno en que suelen apoderarse de informacin confidencial y privada, son diferentes, ya que se instalan y ejecutan con la APROBACIN tcita DEL USUARIO.* Virus Programas que se replican AUTOMTICAMENTE y que pueden ocultar informacin confidencial, bloquear los recursos del sistema, destruir informacin o realizar otros actos malignos. * TroyanosProgramas que parecen aplicaciones de software inofensivas o incluso tiles a simple vista, pero que en su interior albergan cdigo malintencionado. Aunque los troyanos NO SE AUTO REPLICAN, pueden hacer que un equipo infectado descargue otro malware que s lo haga. * Gusanos Malware que se replica mediante la distribucin de copias a travs de una red compartida, una unidad USB, etc, a menudo de forma autnoma, SIN necesidad de INTERVENCIN HUMANA. DefinicionesUna rootkit no es un...

  • Un poco de historia ...Historia* 1986 -> BrainPrimer virus para PC. Interceptaba las interrupciones del sector de arranque y rediriga las operaciones de lectura a otro sector del disco. * 1987 -> Lehigh Rpida neutralizacin tras su lanzamiento debido a que no utilizaba tcnicas de ocultacin.~ Conciencia ~

    La longevidad de un virus dependa esencialmente de las tcnicas de ocultacin* 1991 -> Tequila / 1993 -> 1689 StealthUso de tcnicas para ocultar el aumento de tamao de los archivos.Mediados de los 90 => Punto de inflexinPorqu?

  • * La aparicin de Windows 95 trajo la inmunidad a los virus DOS y un breve perodo de inactividad en cuanto a innovacin de tcnicas de ocultacin.Los autores de virus tuvieron que aprender a utilizar las interfaces de programacin de aplicaciones de Windows (API) y la arquitectura de memoria protegida. * 2001 -> NTrootkit / 2003 -> HackerDefender Fin de la tregua. Estos troyanos se "enganchaban" al sistema operativo en un nivel muy bajo de llamadas a funciones, lo que les permita ocultar su presencia.Es tan fcil como....Cambiar el nombre de un archivo infectado de forma que parezca un archivo legtimo del sistema o del usuario.

    El troyano scvhost.exe o svehost.exe puede residir en el directorio system32 de Windows junto al archivo original llamado svchost.exe. Del mismo modo, puede ejecutarse un troyano llamado svchost.exe desde los directorios Windows o WINNT.Historia

  • Y con la llegada de Internet...Bueno para todosPara los malos: nuevas vas de propagacin y proporcion millones de vctimas potencialesPara los buenos: nuevos mtodos de deteccin a travs de la red en tiempo real con sistemas de prevencin de intrusiones (IPS) y otros dispositivos de supervisin del trfico para vigilar los sntomas que revelan la presencia de actividad maligna.HistoriaExisten los buenos? Quines son?

  • 31 de Octubre de 2005Mark Russinovich descubre que el software de gestin de derechos digitales de Sony BMG, Extended Copy Protection (XCP) hace uso de tecnologas de ocultacin que exponan a los equipos a posibles ataques. XCP incorpora una implementacin de controlador de dispositivo que incluye privilegios a nivel de kernel. Este controlador oculta archivos y procesos de gestin de derechos digitales para que el usuario no pueda desactivarlos y realizar copias ilegales de archivos de msica. Para conseguir esta proteccin, se escribi cdigo kernel que ocultaba cualquier archivo, carpeta o proceso que comenzara por la cadena "$sys$"Noviembre 2005W32/Brepibot , cuya presencia se comunic en noviembre de 2005 y que se propaga a travs de canales Internet Relay Chat (IRC), aprovechan esta vulnerabilidad. HistoriaOtros casos: Symantec (NTProtect) Kaspersky(iStreams)

  • ObjetivosEntonces...Cules son los objetivos de las Rootkits?Ocultar los rastros de la entrada de un intruso en el ordenadorOcultar la presencia de procesos o aplicaciones maliciosasOcultar las actividades dainas como si fueran realizadas por programas legtimos

  • Ocultar la presencia de exploits, backdoorsUtilizar al sistema comprometido como intermediario para llevar a cabo otras intrusiones y/o ataques maliciososAlmacenar informacin a la que un intruso no podra tener acceso de otra maneraEntonces...Cules son los objetivos de las Rootkits?(II)Objetivos

  • TendenciasPor qu tienen xito?Porque estn presentes en troyanos, malware y pupMotivo: esfuerzos conjuntos de investigacin en lnea

  • Por qu tienen xito?(II)Porque cada vez son ms sofisticadosFactor de complejidad: nmero de archivos que forman la rootkitTendencias

  • Por qu tienen xito?(III)Porque romper Windows es un retoDesafo: Gran nmero de APIs no documentadasTendencias

  • Por qu tienen xito?(IV)Porque tambin estn presentes en software legalA tener en cuenta: tambin han convencido a los proveedores de software comercialTendencias

  • Por qu tienen xito?(V)Porque lo puede hacer cualquieraFactores: fcil acceso al cdigo + kits de creacin gratuitosTendencias

  • Parte II:Anlisis de la plataforma Windows

  • Conceptos previos: La arquitectura i386 admite cuatro anillos, o niveles de privilegios,(numerados del 0 al 3) Los anillos 0 y 3 son empleados para la seguridad de los procesos y los datos. Las aplicaciones de usuario solicitan recursos del kernel del sistema operativo y del hardware. Para comunicarse con el kernel, las aplicaciones en modo de usuario utilizan llamadas API Win32. La transferencia del control desde el modo de usuario al modo de kernel se efecta a travs de una funcin especial del procesador.Conceptos previos

  • La rootkit debe alterar el flujo de ejecucin normal para conseguir que prospere su implementacin de ocultacin (Hooking)Conceptos previos

  • Rootkits en modo de usuario Pasan desapercibidos para el Administrados de Tareas Su efectividad depende de su habilidad para ocultarse Dependen de APIs de Windows documentadas que se emplean habitualmente en utilidades, depuradores, herramientas de desarrollo, ...Tipos de rootkits

  • Mtodos de InyeccinA travs de extensiones de aplicacionesProporciona acceso al espacio de direcciones del procesoA travs de filtros de mensajes de WindowsUso de SetWindowsHookEx para interceptar eventos del sistemaA travs de vulnerabilidades de aplicacionesDiversos mtodos de comunicacin

    Multiplica las posibles vas de ataqueTipos de rootkits

  • Cmo se interceptan los mensajes?Intercepcin de la tabla de direcciones de importacin (IAT)Cada vez que se ejecuta una llamada a la API de destino, se ejecuta el rootkitTipos de rootkits

  • Intercepcin de funciones en lneaLas llamadas del proceso pasan primero por la rootkitTipos de rootkitsCmo se interceptan los mensajes? (II)

  • Rootkits en modo kernel La utilizan habitualmente aplicaciones legtimas, como controladores de dispositivos del sistema y programas antivirus. Objetivo: operar en modo de kernel con privilegios de sistemaSe hace ms difcil su deteccin y eliminacin Mediante la instalacin de un controlador de dispositivo en modo de kernel, consiguen que su cdigo se cargue en el espacio de direcciones del kernel Son complejas y poco compatibles, por lo que su popularidad no ha sido mayor que las rootkits en modo usuario Tipos de rootkits

  • Modificacin de la tabla de descriptores de servicios del sistema (SSDT) Aproximadamente el 50% de los rootkits observados en circulacin implementan este tcnica.Puede ser detectada por la mayora de los analizadores de memoriaTipos de rootkits

  • Entonces...Cmo sabemos si tenemos una Rootkit?Las herramientas tradicionales de monitorizacin no son fiablesMonitorizacin externa: Sniffers (1)Anlisis forense: deteccin Offline (2)Anlisis estadsticos: estudios de bajo nivel (3)Comparacin de resultados(1)NTRootkit(2)Sistema de ficheros propio(3)PatchFinder2Deteccin

  • Para protegernos deberamos de...Instalar una solucin anti-rootkit y ACTUALIZARLA peridicamenteInstalar un firewall que proteja de accesos no autorizados al ordenadorMantener las aplicaciones instaladas en el ordenador siempre actualizadas, instalando los parches de seguridad proporcionados por los fabricantesPrevencin

  • Ejemplo:* Requisitos:-> Windows 2000/XP/2003-> Rootkit Hacker Defender 1.00 [2004]~ Capacidad de ocultacin de espacio libre en disco y conexiones.~ bdclient.exe para comunicarse con el atacante.

  • * Configuracin (hxdef100.ini):

    - Hidden table: Almacena la lista de ficheros ocultos por la rootkit.- Root proccess: Procesos que podran acceder a todos los recursos, aunque estn ocultos.- Hidden services: Esntradas de servicios ocultas en el sistema.- Hidden Regkeys: Entradas de registro ocultas (claves de los programas que hemos instalado en el sistema)- Hidden regvalues: Como lo anterior, pero para valores.- Startup run: Tiene la misma funcionalidad que la clave run del registro. Inicia programas ocultos al ejecutarse la rootkit- Free space: Se puede configurar que cada unidad muestre un nmero de bytes extras en el espacio libre para que no sospeche de la falta de espacio en disco por nuestras herramientas.- Hidden ports: Oculta puertos locales abiertos para que no se detecten aplicaciones que estn escuchando en puertos, como