Páginas: [1] 
|
 |
|
 Autor
|
Tema: DETECTANDO ROOTKITS (Leído 7628 veces)
|
|
ANELKAOS
|
Este post va dirigido a todos akellos usuarios de Windows q les preocupa algo la seguridad informática y mantienen (+ o -) a raya a los virus/troyanos/spy/etc... con un Antivirus/Antispy y un cortafuegos o router bien configurado. En primer lugar deberias leer http://www.microsoft.com/spain/technet/recursos/articulos/avdind_0.mspx si tienes tiempo libre, como no es mi caso, proseguimos. Rootkits: son programas que son insertados en una computadora después de que algún atacante ha ganado el control de un sistema. Los rootkit generalmente incluyen funciones para ocultar los rastros del ataque, como es borrar los log de entradas o encubrir los procesos del atacante. Los rootkit pueden incluir puertas traseras, permitiendo al atacante obtener de nuevo acceso al sistema o también pueden incluir exploits para atacar otros sistemas. http://es.wikipedia.org/wiki/MalwareMi definición es mas explícita: + allá de los virus están esos entrañables bichitos indetectables  Un rootkit antiguo y detectado por un buen AV moderno se puede convertir en indetectable con relativa facilidad (Por poner un ejemplo bastante conocido: http://foro.elhacker.net/index.php/topic,39760.0.html)Ad+ hay q contar con que no se trata de un virus hecho por el Juaker Josemari, hay trabajos MUY BUENOS y hay q dar por hecho q son totalmente invisibles para un usuario medio. Ante los nuevos no hay defensa posible, un verdadero hacker logra el acceso a tu makina por muy bien configurado y actualizado q tengas tu Windows, el firm de tu router, el AV, etc... porque vulnerabilidades ha habido siempre, solo vamos descubriendolas y parcheais el segundo martes de cada mes. La cuestión es detectarlo a tiempo. Si observamos un minimo comportamiento anómalo de nuestros pcs y todos los AV dicen que estamos limpios solo nos queda una solución (dadle una colleja a ese que ha dicho "Formatear.") Son 3 programas de busqueda avanzada de bichitos: STRIDER GHOSTBUSTERDescarga:http://www.antiy.net/ghostbusters/download.htmInfo:ftp://ftp.research.microsoft.com/pub/tr/TR-2005-25.pdfROOTKIT REVEALERDescarga:http://www.sysinternals.com/Files/RootkitRevealer.zipInfo:http://www.sysinternals.com/utilities/rootkitrevealer.htmlNOTA IMPORTANTE: No detecta rootkits que no ocultan sus archivos o claves del registro. BLACKLIGHTDescarga:http://www.europe.f-secure.com/exclude/blacklight/blbeta.exeInfo:http://www.f-secure.com/blacklight/cure.shtmlPD: Aún así, se podria programar un rootkit invisible a todos estos detectores, solo q a fecha de hoy, no me consta que exista ninguno. |
|
|
|
« Última modificación: 02 Noviembre 2005, 00:24 por ANELKAOS »
|
En línea
|
|
|
|
mousehack
 Desconectado
Mensajes: 1.146
Ex-Colaborador....!!!!!!XD
|
buena info..!!! graxias  Salu2 |
|
|
|
|
En línea
|
|
|
|
ovidio
Desconectado
Mensajes: 58
|
PD: Aún así, se podria programar un rootkit invisible a todos estos detectores, solo q a fecha de hoy, no me consta que exista ninguno.
Solo una pregunta por curiosidad. Si son invisibles como se sabe si existe o no? |
|
|
|
|
En línea
|
|
|
|
|
ANELKAOS
|
Solo una pregunta por curiosidad. Si son invisibles como se sabe si existe o no?
Normalmente los autores de rootkits publican sus trabajos en ciertas webs..q yo diria q son mas visitadas por la gente q trabaja en empresas de desarrollo de AV q por hackers. Estas personas analizan exaustivamente el rootkit. Ven como trabaja y siguiendo esas pautas de comportamiento del programa crean una regla para que su AV lo detecte. Todo rootkit se programa con una finalidad, hay mil formas de hacer cada cosa pero hay cosas q no se pueden ocultar. Ejemplo dos puntos..para acceder al PC1, si analizas todo el tráfico del Servidor veras como en algún momento hay un socket injustificado. [PC1 infectado con rootkit]----[Servidor]----[Internet] De vez en cuando, verdaderos profesionales "cuelgan" en Internet una makina vulnerable y analizan que "invitados" recive. Esto se conoce como servidores trampa o honeypot.  Unos sacan un rootkit q hace esto y los AV lo detectan de una manera. Al mes estudian las pautas q sigue el AV para detectarlo y lo ocultan de otra...y vuelta a empezar. |
|
|
|
|
En línea
|
|
|
|
ovidio
Desconectado
Mensajes: 58
|
Gracias por la respuesta.
Ahora entiendo, puedes ser invisible, pero cuando andas por la nieve dejas huella.
Y mas curioso aun lo de los honeypot. Aunque casi seguro que pillaran casi siempre lo mismo y tendran que filtrar hasta encontrar algo nuevo.
Un saludo
|
|
|
|
|
En línea
|
|
|
|
|
b_side
|
Muy interesante y muy bien explicadito todo, gracias no tenia ni idea de estos bichitos ni las "soluciones" contra ellos Nice post!  |
|
|
|
|
En línea
|
|
|
|
|
ANELKAOS
|
|
|
|
|
« Última modificación: 16 Septiembre 2005, 17:51 por ANELKAOS »
|
En línea
|
|
|
|
slimet
Desconectado
Mensajes: 112
|
bueno el dato es exelente segun mi puunto de vista... pero el RootkitRevealer escanea y elimina o tengo que buscar lo que escaneo?...  porfavor respondan |
|
|
|
|
En línea
|
|
|
|
Randomize
Colaborador
Desconectado
Mensajes: 8.747
And I said...
|
Excelente aporte.
|
|
|
|
|
En línea
|
Coming soon...
|
|
|
|
|
|
|
|
b_side
|
Otro mas Patchfinder2 rootkit detector for Windows 2000
Patchfinder (PF) is a sophisticated diagnostic utility, based on Execution Path Analysis, designed to detected system libraries and kernel compromises.
WARNING:This tool requires a clean system baseline to compare with. It means that you must install it (and generate the baseline) on a clean system for the first time (just like you do with Tripwire for example). web: http://invisiblethings.org/tools.html |
|
|
|
|
En línea
|
|
|
|
|
Páginas: [1] 
|
|
|
 |
