Y por último los Rootkit. 
Antes de comenzar observemos una foto a nuestra derecha
¿Qué son?
Son pequeños programas con rutinas encriptadas que se instalan en forma "oculta" en los sistemas de los usuarios de PC y servidores para evitar ser detectados por los antivirus, software de seguridad y utilitarios de administración de los sistemas. Pueden ejecutar acciones de todo clase, incluso destructivas, sin ser detectados.
A esta anterior definición podemos agregar que es un conjunto de herramientas de software usados por intrusos que acceden ilícitamente a un sistema operativo. Estas herramientas sirven para ocultar "procesos" y archivos en su ejecución, frecuentemente con fines maliciosos. Existen Rootkits para la mayoría de sistemas operativos, como Microsoft Windows, Linux, Solaris, etc.
Los Rootkit ocultan los inicios de sesión (logins), procesos, archivos, creación o modificación de llaves de registro, etc. Pueden interceptar datos contenidos en un sistema, conexiones de red y hasta digitaciones del teclado (Keyloggers).
Métodos de ocultamiento de detección.
Existen muchas metodologías para que los Rootkit logren evadir su detección u ocultar su presencia y accionar.
Un ejemplo simple, consiste en interceptar todas las llamadas a las API FindFirstFile/FindNextFile, las cuales son usadas por las herramientas de exploración de los sistemas de archivos, incluyendo el Windows Explorer y el comando prompt, para listar el contenido de carpetas de archivos de sistema.
API (Interfaz de Aplicaciones de Programación) son librerías de vínculos dinámicos .DLL, que forman parte del sistema operativo Windows.
Cuando un programa ejecuta un listado de una carpeta o directorio que podrían devolver resultados con entradas que identifiquen a los archivos asociados al Rootkit, es cuando éste intercepta y modifica la salida para remover sus entradas.Las API nativas de Windows actúan como interfaz entre el modo-usuario de cliente y los servicios del modo-kernel y es en ese proceso cuando los más sofisticados Rootkit del modo-usuario interceptan los archivos de sistema, registros y los procesos de enumeración de las funciones de las API nativas.
Lo cual evita su detección por scanners que comparan el resultado de la enumeración de las API de Windows con la devolución de enumeración de de las API nativas invocadas.
El caso de la Sony BMG Music y la tecnología Rootkit
La tecnología Extendida de Protección de Copias (XCP) creada por First 4 Internet Ltd. era empleada para proteger CDs de audio y formatos DVD para la mencionada corporación. .
El denominado software DRM (Digital Rights Management) de esa tecnología oculta:
Ejecución de archivos.
Procesos.
Llaves de registro y sus valores.
PER ANTIVIRUS está desarrollando una tecnología propietaria para detectar y eliminar los Rootkit. Recomendamos tener siempre actualizados los Sistemas Operativos, antivirus, etc. y jamás ejecutar un archivo anexado o enlace (link), de remitentes sospechosos o desconocidos.
A esta anterior definición podemos agregar que es un conjunto de herramientas de software usados por intrusos que acceden ilícitamente a un sistema operativo. Estas herramientas sirven para ocultar "procesos" y archivos en su ejecución, frecuentemente con fines maliciosos. Existen Rootkits para la mayoría de sistemas operativos, como Microsoft Windows, Linux, Solaris, etc.
Los Rootkit ocultan los inicios de sesión (logins), procesos, archivos, creación o modificación de llaves de registro, etc. Pueden interceptar datos contenidos en un sistema, conexiones de red y hasta digitaciones del teclado (Keyloggers).
Métodos de ocultamiento de detección.
Existen muchas metodologías para que los Rootkit logren evadir su detección u ocultar su presencia y accionar.
Un ejemplo simple, consiste en interceptar todas las llamadas a las API FindFirstFile/FindNextFile, las cuales son usadas por las herramientas de exploración de los sistemas de archivos, incluyendo el Windows Explorer y el comando prompt, para listar el contenido de carpetas de archivos de sistema.
API (Interfaz de Aplicaciones de Programación) son librerías de vínculos dinámicos .DLL, que forman parte del sistema operativo Windows.
Cuando un programa ejecuta un listado de una carpeta o directorio que podrían devolver resultados con entradas que identifiquen a los archivos asociados al Rootkit, es cuando éste intercepta y modifica la salida para remover sus entradas.Las API nativas de Windows actúan como interfaz entre el modo-usuario de cliente y los servicios del modo-kernel y es en ese proceso cuando los más sofisticados Rootkit del modo-usuario interceptan los archivos de sistema, registros y los procesos de enumeración de las funciones de las API nativas.
Lo cual evita su detección por scanners que comparan el resultado de la enumeración de las API de Windows con la devolución de enumeración de de las API nativas invocadas.
El caso de la Sony BMG Music y la tecnología Rootkit
La tecnología Extendida de Protección de Copias (XCP) creada por First 4 Internet Ltd. era empleada para proteger CDs de audio y formatos DVD para la mencionada corporación. .
El denominado software DRM (Digital Rights Management) de esa tecnología oculta:
Ejecución de archivos.
Procesos.
Llaves de registro y sus valores.
PER ANTIVIRUS está desarrollando una tecnología propietaria para detectar y eliminar los Rootkit. Recomendamos tener siempre actualizados los Sistemas Operativos, antivirus, etc. y jamás ejecutar un archivo anexado o enlace (link), de remitentes sospechosos o desconocidos.
No hay comentarios:
Publicar un comentario