Principios de Seguridad y Alta Disponibilidad
Integridad
La integridad es la cualidad que posee un documento o archivo que no ha sido alterado y que además permite comprobar que no se ha producido manipulación alguna en el documento original.
Actualmente uno de los malware que mas afectan a la integridad son los rootkit.
¿Qué es un rootkit?
Un rootkit es un malware que permite un acceso de privilegio continuo a un equipo pero que mantiene su presencia activamente oculta al control de los administradores al corromper el funcionamiento normal del sistema operativo o de otras aplicaciones sustituyendo los ejecutables binarios del sistema para ocultarse mejor, pudiendo servir de puertas trasera o backdoor para la ejecución malware remota.
Este malware, que se esconde a sí mismo y a otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten al intruso mantener el acceso a una amplia variedad de sistemas operativos como pueden ser GNU/Linux, Solaris o Microsoft Windows para remotamente comandar acciones o extraer información sensible.
En caso de que se reemplace o falsifique archivos del sistema operativo, ocultándose para realizar tareas no autorizadas, la búsqueda y detección del mismo se complicara.
El término proviene de una concatenación de la palabra inglesa root, que significa 'raíz' (nombre tradicional de la cuenta privilegiada en los sistemas operativos Unix) y de la palabra inglesa kit, que significa 'conjunto de herramientas' (en referencia a los componentes de software que implementan este programa). El término rootkit tiene connotaciones peyorativas ya que se lo asocia al malware.
¿En que se basan?
Encubren a otros procesos que están llevando a cabo acciones maliciosas en el sistema.
Si en el sistema hay una puerta trasera para llevar a cabo tareas de espionaje, el rootkit ocultará los puertos abiertos que delaten la comunicación, si hay un sistema para enviar spam, ocultará la actividad del sistema de correo o si un usuario intenta analizar el sistema para ver qué procesos están ejecutándose, el rootkit mostrará información falsa, mostrando todos los procesos excepto él mismo y los que está ocultando.
Los rootkits se pueden clasificar en dos grupos: los que van integrados en el núcleo y los que funcionan a nivel de aplicación.
Los que actúan desde el kernel añaden o modifican una parte del código de dicho núcleo para ocultar el backdoor. Normalmente este procedimiento se complementa añadiendo nuevo código al kernel, ya sea mediante un controlador (driver) o un módulo, como los módulos del kernel de Linux o los dispositivos del sistema de Windows.
Los rootkits que actúan como aplicaciones pueden reemplazar los archivos ejecutables originales con versiones crackeadas que contengan algún troyano, o también pueden modificar el comportamiento de las aplicaciones existentes usando hacks, parches, código inyectado, etc.
Rootkit actuales en internet
Alguno de los rootkits actuales son los siguientes:
- SuckIT
- Adore
- T0rn
- Ambient's Rootkit (ARK)
- Hacker Defender
- First 4 Internet XCP (Extended Copy Protection) DRM
- RkU Test Rootkit & Unreal
- Rootkit de núcleo : UACd (Agrega un driver de muy bajo nivel llamado UACd.sys)
A continuación se muestra la descripción completa de un rootkit muy malicioso y que lleva descubierto desde el 2010:
Nombre:
|
RKit/Stuxnet.A
|
Descubierto:
|
15/07/2010
|
Tipo:
|
Troyano
|
En
circulación (ITW):
|
Sí
|
Número
de infecciones comunicadas:
|
Medio-bajo
|
Potencial
de propagación:
|
Alto
|
Potencial
dañino:
|
Alto
|
Fichero
estático:
|
Sí
|
Tamaño:
|
26.615
Bytes
|
Suma
de control MD5:
|
f8153747bae8b4ae48837ee17172151e
|
Versión
del IVDF:
|
7.10.09.91 -
jueves, 15 de julio de 2010
|
- No tiene rutina propia de propagación
- Symantec: W32.Temphid
- Kaspersky: Rootkit.Win32.Stuxnet.a
- TrendMicro: RTKT_STUXNET.A
- F-Secure: Rootkit.Stuxnet.A
- Sophos: W32/Stuxnet-B
- Bitdefender: Rootkit.Stuxnet.A
- Avast: Win32:Stuxnet-B
- Microsoft: Trojan:WinNT/Stuxnet.A
- AVG: Rootkit-Pakes.AG
- PCTools: Rootkit.Stuxnet
- Eset: Win32/Stuxnet.A
- GData: Rootkit.Stuxnet.A
- AhnLab: Backdoor/Win32.Stuxnet
- DrWeb: Trojan.Stuxnet.1
- Fortinet: W32/Stuxnet.A!tr.rkit
- Ikarus: Rootkit.Win32.Stuxnet
- Norman: W32/Stuxnet.D
- Windows NT
- Windows ME
- Windows 2000
- Windows XP
- Windows 2003
- Windows Vista
- Windows Server 200
- Windows 7
- Modificaciones en el registro
- Roba informaciones
Integridad de tu sistema Windows. SFC
System File Checker (SFC) es una utilidad de los sistemas Windows que comprueba la integridad de los archivos de sistema, examina la integridad de todos los archivos de sistema protegidos y reemplaza los que están corruptos o dañados por versiones correctas, si es posible.
En este proceso, si el sistema detecta que tiene algún problema, puede ser que nos solicite el disco de instalación de Windows en el caso de que necesite reparar algún fichero dañado.
Si el proceso determina que no hay errores, al final nos mostrará un texto como el de la ventana de arriba, “Protección de recursos de Windows no encontró alguna infracción de integridad”.
Si recibes un mensaje diciendo que no puede reparar algunos archivos, podemos averiguar qué archivos son y qué pasa con ellos.
Si el proceso determina que no hay errores, al final nos mostrará un texto como el de la ventana de arriba, “Protección de recursos de Windows no encontró alguna infracción de integridad”.
Si recibes un mensaje diciendo que no puede reparar algunos archivos, podemos averiguar qué archivos son y qué pasa con ellos.
Cuando se ejecuta sfc, crea un archivo LOG que podemos consultar en la carpeta C:\Windows\Logs\CBS\CBS.log.
Sintaxis de sfc
sfc [/scannow] [/scanonce] [/scanboot] [/revert] [/purgecache][/cachesize=x]
Los parámetros más usados son:
/scannow: explora de inmediato todos los archivos del
sistema protegidos.
/scanboot: explora todos los archivos del sistema protegidos
cada vez que se remida el equipo.
/?: muestra la Ayuda en el símbolo del sistema.
Si sfc descubre que un archivo protegido se ha sobrescrito,
recupera la versión correcta del archivo de la carpeta raízDelSistema
system32\dlIcache y luego reemplaza el archivo incorrecto.
Si Ia carpeta raízDelSisLema\system32\dllcache está dañada o es inservible, se puede utilizar sfc/scannow o sfc /scanboot para reparar el contenido del directorio Dllcache.
Si Ia carpeta raízDelSisLema\system32\dllcache está dañada o es inservible, se puede utilizar sfc/scannow o sfc /scanboot para reparar el contenido del directorio Dllcache.
Integridad de tu sistema Ubuntu. RKHUNTER
Rootkit hunter es una herramienta más completa bajo GNU/Linux que entre otras tareas, como examinar los permisos de los ejecutables del sistema, buscar rootkits conocidos rastreando ficheros ocultos, realiza la comprobación de integridad de los archivos de sistema, es decir, verifica que no han sido modificados.
RootkitHunter se puede instalar mediante el comando:
sudo aptitude install rkhunter
RootkitHunter se puede instalar mediante el comando:
sudo aptitude install rkhunter
Se recomienda antes de ejecutarlo, como todo software de seguridad actualizará a la versión más actual:
sudo rkhunter - -update
Para la ejecución sobre el sistema, verificando todas sus opciones:
sudo rkhunter - -checkall
Comprueba, entre otros aspectos, las cadenas y atributos de los comandos o ejecutables del sistema, la existencia de archivos rootkits, etc.
Una vez finalizado nos dará un informe completo con las advertencias y posibles archivos sospechosos encontrados.
Verificación desde un USB Live
Otra forma desde la que podemos verificar la integridad de nuestro sistema es a través de un USB en el que tengamos instalada en modo Live la distribución de nuestro sistema operativo.
Con esto conseguimos que al no arrancar nuestro sistema le sea mucho más difícil a los rootkits ocultarse de nuestro análisis.
Para más información puedes consultar en el siguiente enlace del blog como crear un USB Live.
ok- Sobresaliente.
ResponderEliminarMuy buen trabajo.
Saludos.
Tu padre
ResponderEliminar