Fundamentos de la ciberseguridad para profesionales IT

Escondiendo malware mediante rootkits

Prueba ahora LinkedIn Learning sin cargo y sin compromiso.

Prueba gratis Mostrar modalidades de suscripción
Los rootkits son malware, o parte de este, destinado a camuflarlo y a escalar privilegios. Estudiaremos cómo funcionan y qué herramientas utilizan para la tarea tan importante que ejecutan en los ataques.

Transcripción

Los rootkits son conjuntos de herramientas que permiten esconder malware en procesos del sistema de forma que no tengan que ejecutarse como procesos convencionales. Un proceso convencional con su identificador de proceso, su nombre, y demás características, es fácilmente observable y monitorizable. Además de que se ejecuta con los privilegios asignados al usuario que lanzó su ejecución. Esto, para un malware es peligroso, ya que puede ser detectado por herramientas antimalware y además, con los privilegios de un usuario convencional le resultará complicado establecer un mecanismo de persistencia para poder continuar operando aunque el usuario reinicie la computadora. Además, para desplegar todo su potencial, el malware debe intentar funcionar con privilegios de administrador. Los rootkits permiten al malware escalar privilegios, ocultarse de otros procesos y obtener persistencia en el sistema. De este modo, el malware que siga al rootkit, podrá hacer prácticamente lo que quiera sin llamar la atención y estando disponible cuantas veces se reinicie la computadora. Normalmente los rootkits mimetizan sus procesos con los del sistema operativo, ya que para los usuarios son más crípticos y no se atreven a manipularlos. Y para las herramientas antimalware, como para cualquier otra, son más complicadas de analizar y bloquearlos puede implicar detener todo el sistema; es decir, parasitan al sistema operativo. Los rootkits no son exploits. Los exploits, de hecho, son la herramienta con la que se ha explotado una vulnerabilidad para poder desplegar el rootkit. Los rootkits tampoco son malware propiamente dicho, más bien hacen la función de zapador o explorador, es decir, preparan el terreno para que el malware haga su trabajo de sabotaje o espionaje y se ocupa de mantener a este a salvo de herramientas de seguridad y análisis. Los rootkits más eficientes son capaces de integrarse con el Kernel del sistema, el núcleo, algo que los sistemas de detección de intrusión, difícilmente pueden analizar. Windows Driver Development Kit O DDK, es una herramienta de Microsoft para desarrollar módulos que interactúen con el Kernel del sistema. Los drivers, operan en lo que se conoce como Anillo 0, la parte más profunda del Kernel; y, por tanto, tienen acceso a toda su estructura. Esto los convierte en una herramienta muy apetitosa para los desarrolladores de rootkits, ya que si estos se ejecutan como drivers del Kernel, tendrán los máximos privilegios de los que se pueden disponer en un sistema operativo. Un rootkit integrado en el Kernel puede emplear DKOM o Manipulación Directa de Objetos del Kernel para esconder sus propios procesos, incluso del visor de procesos del sistema. DKOM se usa para esconder puertos, controladores y procesos, aumentar los privilegios de procesos asociados al malware, dificultar el análisis forense y obtener control completo del sistema. Para evitar ser referenciado en el administrador de procesos de Windows, un rootkit manipula el modelo EPROCESS que es una lista en la que cada entrada tiene dos punteros. En la cadena directa, el primer elemento de la lista tiene un puntero de entrada y cada elemento, un puntero que apunta al siguiente elemento de la lista. En la cadena inversa, el sentido va obviamente al revés. Y empezando por el último elemento de la lista, cada uno apunta al anterior. De esta forma, el Kernel controla todos los procesos y responde con esta lista al administrador de tareas cuando este se la solicita. Si uno de los procesos en ejecución es un rootkit que ha logrado mediante DKOM, tomar el control del Kernel y de la lista de procesos, entonces, podrá cambiar los punteros entrante y saliente para no ser identificado por el administrador de tareas. Según los investigadores sobre malware, el primer rootkit capaz de utilizar un DKOM apareció en 2006, usándolo solo para eso, para camuflarse en la lista de procesos, para no aparecer en el administrador de tareas. Dado que DKOM saca partido de su posición privilegiada en el Kernel, permite al rootkit camuflar puertos y controladores, no solo procesos, incluso evitar que el explorador de archivos muestre directorios y ficheros específicos. Una vez que el rootkit se ha establecido, ha escalado privilegios y se ha camuflado, suele descargar del centro de control del atacante el malware que este empleará para desarrollar las acciones para las que se planificó el ataque. Para descargar el malware, el rootkit necesita establecer conexiones al exterior siendo uno de los métodos más comunes SSH, que es un protocolo muy estandarizado y cifrado; por lo que ayuda a evadir los sistemas de detección de intrusión, aunque puede usar más métodos de encubrimiento o cloaking, incluso aprovecharse del protocolo DNS. Troyan Downloader 3 o TDL3 fue la tercera interacción del rootkit diseñado por el grupo criminal Dogma Millions. La particularidad de este rooter es que se instalaba en el sistema como un driver para impresoras para obtener permisos especiales del Kernel. Y a partir de ahí, iniciar el proceso de ocultación de procesos, puertos, drivers y archivos.

Fundamentos de la ciberseguridad para profesionales IT

Descubre distintos métodos de evaluación de riesgos y de gestión de incidentes basados en frameworks o marcos de trabajo preestablecidos de alto reconocimiento a nivel mundial.

2:58 horas (27 Videos)
Actualmente no hay comentarios.
Temas:
IT
Seguridad IT
Fecha de publicación:29/08/2017

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.