Rootkits & Spyware

30
LOGO

Transcript of Rootkits & Spyware

LOGO

Contenidos

¿Qué són? ¿Qué hacen? 1

Objetivos2

Detección33

Prevención44

Tipos y ejemplos35

El término viene de la unión de “root” y de “kit”. “Root” se

refiere al usuario con máximos derechos

en SO tipo Unix (puede ser Unix, AIX, Linux, etc), en los

cuáles tuvo sus orígenes.

Un Rootkit es una herramienta o unconjunto de ellas creadas con el objetivode "esconderse" a sí mismo y además,"esconder" otros elementos.

1

Mantener acceso y control

privilegiado.

2

Ocultar o restringir el acceso a objetos

tales como:

Procesos Archivos

Carpetas / Directorios /

Subdirectorios

Entradas de Registro

Por ejemplo, si en el sistema hay una puerta trasera

para llevar a cabo tareas de espionaje, el rootkit ocultará

los puertos abiertos que delaten la comunicación; o si

hay un sistema para enviar spam, ocultará la actividad

del sistema de correo.

Objetivos Secundarios

Ocultar los rastros de un intruso

Ocultar la presencia de procesos o aplicaciones maliciosas.

Recolección de información confidencial

Utilizar el sistema para ataques maliciosos

Cubrir las actividades dañinas como

si fueran realizadas por programas legítimos.

Objetivos

Secundarios

Ocultar la presencia de códigos que se aprovechan de las

vulnerabilidades del sistema: modificación de parches, retorno a

versiones anteriores, puertas traseras, entradas clandestinas

Guardar otras aplicaciones nocivas y actuar como servidor de recursos

para actualizaciones de bot nets (una colección de robots, o bots, que se

ejecutan de manera autónoma, formando verdaderas redes de máquinas

zombis).

Formas de Detección

1. Apagar el sistema que se considere infectado y revisar

o salvar los datos arrancando desde un medio

alternativo, como un CD-ROM de rescate o un Pen

Drive.

2. Generalmente, los rootkits pueden ser

detectados por escaneado del sistema de

archivos y de la memoria, mediante lo que

se conoce como análisis de firmas.

3. Programas que comprueban la integridad del

sistema mediante firmas. Este tipo de programas hace

firmas digitales de los programas más importantes del

sistema y cualquier modificación de estos programas

generará una firma distinta, de esta manera se detecta la

intrusión.

Para Windows Blacklight. Otra aplicación de detección para Windows

es Rootkit Revealer de Sysinternals. Detecta todos los rootkits actuales

comparando las funcionalidades del sistema operativo original con las

que se han detectado.

En Unix, dos de las aplicaciones más populares son chkrootkit y rkhunter.

Tipos Rootkits

Rootkits persistentes

Rootkits basados en memoria

Son código mal intencionado que no contienen

código persistente y por tanto no sobreviven un

reinicio.

Rootkits de modo de usuario

Rootkits de modo núcleo

un rootkit de modo de usuario intercepte todas las llamadas a las

API de Windows FindFirstFile/FindNextFile, usadas por utilidades

de exploración del sistema de archivos, que incluyen Explorador y

el símbolo del sistema, para enumerar el contenido de los

directorios del sistema de archivos..

Los Rootkits de modo núcleo son mas eficaces, debido a que no

sólo pueden interceptar la API nativa de modo núcleo, sino que

también pueden manipular directamente estructuras de datos de

modo núcleo. Una técnica frecuente para ocultar la presencia de

un proceso de código mal intencionado es quitar el proceso de la

lista de procesos activos del núcleo.

Rootkits en Windows

las DLLs Dynamic Link Library, bibliotecas de vínculos

dinámicos- son librerías compartidas, en lugar de incluir

código común en cada uno de los programas, es más

práctico "reciclarlo", de manera que funciones comunes se

almacenan en ficheros aparte.

las DLLs son cargadas al correr los programas u otras Dlls.

Sin embargo, con las dll código de inyección malicioso, e

hablamos de insertar código en el espacio de memoria de

otros programas, mediante la carga de una dll de origen

malicioso o inyectarla en procesos abiertos (DLL Hooking),

consiguiendo así pasar por el firewall.

Como Prevenir un Rootkit

Es necesario un sistema

que vigile no

únicamente la actividad

de los archivos en el

disco. En lugar de

analizar los archivos

byte a byte, debe

vigilarse lo que hacen al

ejecutarse.

AntiRootkits

TDSSKiller 2.5.20.0:elimina rootkit de la familia

Rootkit.Win32.TDSS: TDL1 , TDL2, TDL3, TDL4, TDSS, Tidserv,

TDSServ Sinowal, Whistler, Phanta, Trup, Stonedy, MBR Rootkit

y Alureon entre otros.

F-Secure BlackLight Rootkit Eliminator:

Sophos Anti-Rootkit .

RootkitRevealer : Dedicado a un tipo de malware que puede

otorgar el control del ordenador a un usuario remoto.

Ejemplo de Rootkit

Sony utilizó tecnología XCP (Extended Copy Protection) de First 4 Internet Ltd

para el control de acceso de ciertos CDs de música.

Los discos protegidos por XCP restringieron el número de copias de CDs o

DVDs que podían hacerse y también controlaron la conversión del formato de

codificación (ripping) de la música, para guardarla y escucharla en un

reproductor digital.

Así, no fue posible reproducir un CD en una PC sin instalar previamente un

software que luego esconde archivos, procesos y claves del registro

modificando el camino de ejecución de las funciones API. Hizo esto utilizando

una técnica propia de los rootkits, que modifica la tabla de servicio del sistema

(SST, System Service Table).

Que es un spyware?

Es un programa espía o es un software que

recopila información de un ordenador y después

transmite esta información a una entidad

externa sin el conocimiento o el consentimiento

del propietario del ordenador.

Que hace?

Ralentiza su ordenador, en especial si hay más de

un programa spyware en su sistema.

Cambia las configuración de su navegador u

ordenador, como la página de inicio del navegador.

Muestra publicidad en ventanas emergentes.

Controla e informa sobre las páginas Web

visitadas.

Instala otros spyware.

En algunos casos extremos, controla e informa

sobre lo que escribe en su ordenador.

Como funciona

funciona dentro de la categoría malware, que se

instala furtivamente en un ordenador para recopilar

información sobre las actividades realizadas en

éste. La función más común que tienen estos

programas es la de recopilar información sobre el

usuario y distribuirlo a empresas publicitarias u

otras organizaciones interesadas,

Como detectar un spyware

los mensajes, contactos y la clave del correo electrónico; datos

sobre la conexión a Internet, como la dirección IP, el DNS,

el teléfono y el país; direcciones web visitadas, tiempo durante

el cual el usuario se mantiene en dichas web y número de veces

que el usuario visita cada web; software que se encuentra

instalado; descargas realizadas

Como evitarlo y eliminarlos

Norton, McAfee VirusScan, Trend Micro

PC-Cillin 2004, y el Panda Antivirus

Síntomas de infección

Cambio de la página de inicio, error en

búsqueda del navegador web.

Aparición de ventanas "pop-ups", incluso

sin estar conectados y sin tener el

navegador abierto

La navegación por la red se hace cada

día más lenta, y con más problemas.

Denegación de servicios de correo y

mensajería instantánea.

software vs spyware

Ad-Aware Free Internet Security 9.0: Elimina fácilmente archivos

espías y le ayuda a eliminarlos de forma rápida. Puede elegir los módulos

a eliminar, guardar ficheros de registro, y personalizar el menú del

programa. Incluye la detección de publicidad, escaneo automático y

posibilidad de usarlo a través de línea de comandos.

SpywareBlaster 4.4: Evita que se instalen

virus spyware, Adware ydialers. Previene la

ejecución de estos basados en ActiveX, de este

modo bloquea totalmente su entrada

previniendo acciones potencialmente

peligrosas. Se encargará de mantener

actualizada su lista de spyware peligrosos a

través de Internet y tapar las posibles entradas

del Explorer. Además permitirá realizar una

captura de su sistema para restaurarlo

momento.

SpyBot Search & Destroy 1.6.2.46: De

interfaz sencillo, busca si en su disco hay algún

software espía procediéndolo a eliminar en

forma efectiva. Además puede eliminar las

últimas páginas visitadas, los ficheros abiertos,

los cookies, etc.

Ejemplos de spyware

Adforce, Adserver, Adsmart,

Adsoftware, Aureate, Comet

Cursor, Conducent, Cydoor,

Doubleclick, Flycast, Flyswat,

Gator, GoHip, MatchLogic,

Qualcomm, Radiate, Teknosuf,

Web3000, Webferret,

Worldonline, Webhancer

BIBLIOGRAFIA

http://www.alegsa.com.ar/Notas/75.php

http://searchmidmarketsecurity.techtarget.com/definition/rootkit

http://www.baquia.com/posts/todo-sobre-los-rootkits

http://www.viruslist.com/sp/analysis?pubid=207270993

http://www.eset-la.com/centro-amenazas/articulo/-la-raiz-todos-los-males-

rootkits-revelados/1520

http://www.kriptopolis.org/el-rootkit-del-drm-de-sony-la-verdadera-historia

http://www.uned.es/csi/sistemas/secure/seguridad/docs/rootkit-win/index2.htm

http://www.seguridadpc.net/rootkits.htm

http://www.infospyware.com/antirootkits/

http://www.seguridadpc.net/antispyware.htm

http://www.masadelante.com/faqs/programas-antispyware

http://www.youtube.com/watch?v=zxm04m7PtDM

http://www.youtube.com/watch?v=t_Cl3Sqrc8M

http://www.youtube.com/watch?v=7MuRzFYbzDQ

CONCLUSIONES

Rootkits

Conjunto de herramientas que dan privilegio con la finalidad de inyectar

malware en un equipo remoto, ayudando a ocultar procesos . Existe software

que trabajan con procesos legítimos.

• Se recomienda evitar descargas de archivos de dudosa procedencia, y la

visita a paginas no seguras.

• Para eliminarlo se recomienda no iniciar con el sistema operativo o en su

caso iniciar en modo seguro, o bien como unidad externa.

Spyware

Software espía utilizado para recopilar información sin consentimiento del

usuario y enviarla a terceros con la finalidad de lucrar con ella, también existe

spyware con fines benéficos para las empresas de TI.

• Se recomienda mantener una actualización periódica del antivirus.

• Prevención con las paginas visitadas.

LOGO