UNIVERSIDAD NACIONAL AUTONOMA DE MEXICO FACULTAD DE INGENIERIA. Sistemas Operativos. Exposición Rootkits RODRIGUEZ SALGADO ISAAC VINCENT

Transcripción

1 UNIVERSIDAD NACIONAL AUTONOMA DE MEXICO FACULTAD DE INGENIERIA Sistemas Operativos Exposición Rootkits RODRIGUEZ SALGADO ISAAC VINCENT GARCIA CARMONA DANIEL ANGEL

2 Qué es un rootkit? Básicamente es un programa o conjunto de programas que una vez instalados trataran de esconderse para no ser detectados por el administrador del sistema donde han sido instalados para posteriormente acceder y manipular este sistema. El termino rootkit proviene de la concatenación de las palabras Root y Kit.Root en el mundo de Unix es el equivalente a el administrador en Windows y la palabra Kit hace referencia a un conjunto de herramientas, por lo tanto podríamos interpretarlo como el conjunto de herramientas para obtener el acceso de Root/Administrador. El término ha evolucionado y actualmente es un conjunto de herramientas (Keyloggers, Backdoors,etc.) utilizadas en cualquier sistema para conseguir acceder ilícitamente al mismo. Generalmente se utilizan para ocultar procesos y programas que permiten acceso al sistema atacado, incluso tomar el control de partes del mismo. Los rootkits tienen mala fama entre los usuarios normales de sistemas de cómputo pues estos son siempre asociados con Malware que se esconde a sí mismo y a otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten al intruso mantener el acceso a una amplia variedad de sistemas. Es importante remarcar que un Rootkit no es un Malware en sí mismo pero, debido a que es utilizado ampliamente para ocultar los mismos, muchas veces se lo considera incorrectamente como programa dañino. Un ejemplo de que no todos los rootkits son Malware son las VNC (Virtual Network Computing) pues estas nos ayudan a controlar remotamente una computadora y no son software dañino. Los rootkits no son algo nuevo pues la práctica de esconder software de los ojos curiosos de los usuarios y de los programas de seguridad data desde la aparición del primer virus informático para MS-DOS llamado Brain el cual fue liberado en 1986.Brain era un virus que originalmente fue diseñado para erradicar la copia ilegal de software que los hermanos Basit y Amjad Farooq Alvi diseñaban y vendían para el sistema MS-DOS, este virus infectaba el sector de arranque de los medios de almacenamiento formateados con el sistema de archivos FAT, lo que hacía el virus era copiarse a el sector de arranque de los disquetes para posteriormente copiar el sector de arranque original a otro sector y marcarlo como dañado, ahora se preguntaran que tiene que ver todo esto con los rootkits pues déjenme contarles que si tiene que ver y mucho pues este virus creado liberado en 1986 fue descubierto hasta 1988 y para ese entonces ya había miles de infectados pues este virus utilizaba técnicas Stealth mediante las cuale el sector de Boot no aparecía alterado; esto dificultaba enormemente determinar la existencia de un agente infeccioso en los disquetes. Estas técnicas Stealth son muy usadas en

3 virus actuales para intentar pasar desapercibidos ante los ojos del usuario afectado y de algunos antivirus (de forma temporal) por lo que se les puede considerar rootkits. Actualmente, incluso son usados por varias empresas para controlar componentes del sistema y permitir o denegar su utilización. Hay que remarcar que el uso de estos programas es éticamente incorrecto (o incluso ilegal), ya que se hace sin la autorización expresa del usuario. Un ejemplo del uso de rootkits por parte de las empresas sería el caso de Sony BMG Entertainment cuando en 2005 agrego a más de 22 millones de CD un rootkit el cual instalaba en el sistema operativo un software DRM e impedía que copiáramos nuestras canciones a la PC, claro está que cuando se descubrió no fue del agrado de los usuarios pues también recolectaba información del usuario y la enviaba directamente a sony.como nota curiosa el rootkit diseñado por sony era muy bueno pues ningún antivirus o antispyware pudo detectarlo antes de que se hiciera público por las vulnerabilidades que ocasionaba en el sistema windows, y pues así podemos citar muchos otros rootkits legales que se instalaban en el sistema para evitar la copia ilegal de software, música, etc. Cuál es el propósito de un rootkit? Un rootkit tiene dos propósitos principales: Control remoto del sistema afectado y comunicación con el mismo. Espiar las actividades realizadas en el sistema afectado. Los rootkits se utilizan también para usar el sistema atacado como «base de operaciones», es decir, usarlo a su vez para lanzar ataques contra otros equipos. De este modo puede parecer que es el sistema infiltrado el que lanza los ataques y no el intruso externo. Este tipo de ataques podrían ser de denegación de servicio (DoS), ataques mediante IRC o mediante correo electrónico (spam). Tipos de Rootkits Para explicar los tipos más comunes de rootkit usaremos Windows como ejemplo pues es un sistema para el cual se han desarrollado gran cantidad de ellos. En Windows el núcleo (kernel) debe ser protegido de las aplicaciones de usuario, pero estas aplicaciones requieren cierta funcionalidad desde el kernel. Para proveer esto Windows implementa dos modos de ejecución: modo usuario y modo kernel. Windows hoy solo soporta esos dos modos, aunque las CPU Intel y AMD soportan cuatro modos de privilegios o anillos en sus chips para proteger el

4 código y datos del sistema de sobreescrituras maliciosas o inadvertidas por parte de código de menor privilegio. Con esto en mente los rootkits se pueden clasificar en dos grupos: los que van integrados en el núcleo y los que funcionan a nivel de aplicación. Rootkits modo usuario Estos rootkits funcionan en el área de usuario o en el espacio de aplicación.cuando una aplicación hace una llamada al sistema, la ejecución de esta llamada sigue un camino predeterminado y es ahí cuando nuestro amigo el rootkit entra en acción, pues en ese preciso momento puede secuestrar la llamada y tomar control de ella. Una de las técnicas más usadas por los diseñadores de rootkits de modo usuario en Windows es la modificación en memoria del sistema de librerías de Windows (dll).durante la ejecución estas dll son cargadas en el espacio de memoria de la aplicación que las usa permitiéndole a la aplicación el llamar y ejecutar código que está en el dll y ahí es donde el rootkit entra en acción pues cuando la aplicación hace la llamada a la librería dll el rootkit intercepta esa llamada y después la envía a la dll haciéndole creer que es el programa que lo solicito después el dll manda su respuesta al rootkit y el rootkit finalmente hace lo que daba con la información recibida por la dll la modifica y la regresa a la aplicación que la solicito. Como sea, todas las aplicaciones que son ejecutadas en espacio de usuario tienen su propio espacio de memoria por lo cual nuestro astuto rootkit tiene que hacer este proceso en cada aplicación que este siendo ejecutada. Además debe estar monitoreando el sistema para saber cuándo una nueva aplicación será ejecutada para posteriormente interferir su comunicación con las dll. Otras técnicas no tienden a estar monitoreando el sistema pues solo les basta con pescar una llamada al sistema y seguirla más abajo en el camino hasta donde converja con otros caminos en el núcleo. Rootkits modo kernel Estos rootkits involucran la pesca de llamadas o su modificación en el espacio de kernel (núcleo).el espacio de kernel esta generalmente fuera de los límites de los usuarios autorizados (o no autorizados).uno debe tenerlos privilegios apropiados para acceder o modificar la memoria del kernel. Por lo tanto el kernel es el lugar ideal para pescar esas llamadas al sistema pues es el nivel más bajo.

5 Las llamadas al sistema que pasan por el kernel pasan a través de varios puntos de enganche algunos son descritos a continuación: Para que una llamada al sistema pase del espacio de usuario hasta el kernel debe pasar primero por una puerta. El propósito de esta puerta es asegurarse que el código del espacio de usuario no tiene acceso general al kernel así protegiendo ese espacio de kernel. Esta puerta debe ser capaz de reconocer el propósito de las entrantes llamadas al sistema e iniciar la ejecución en el espacio de kernel y regresar los resultados a la aplicación que hizo la llamada. La puerta es un excelente representante entre el espacio de usuario y el espacio de kernel. En versiones viejas de Windows este intérprete era llamado mediante interrupciones pero en versiones más nuevas es mediante el modelado de registros específicos. Ambos mecanismos pueden ser modificados para que la puerta redirija la llamada al rootkit en vez de al espacio de kernel original. Otro punto de enganche popular para infiltrarse en el sistema es modificar la System Service Descriptor Table (SSDT). La SSDT es una tabla en la memoria del kernel que tiene todas las direcciones de las llamadas al sistema. Simplemente modificando esta tabla el rootkit puede redirigir la ejecución a su código en lugar de la llamada del sistema original y removerse de los resultados antes de enviárselos a la aplicación solicitante. Estos rootkits suelen parchear las llamadas al sistema con versiones que esconden información sobre el intruso. Son los más peligrosos, ya que su detección puede ser muy complicada. Los rootkits que actúan como aplicaciones pueden reemplazar los archivos ejecutables originales con versiones crackeadas que contengan algún troyano, o también pueden modificar el comportamiento de las aplicaciones existentes usando hacks, parches, código inyectado, etc. Finalmente otro tipo de técnica que cae en esta clasificación es en la que el rootkit modifica la estructura de datos en la memoria del kernel. Por ejemplo el kernel debe tener una lista de los procesos en ejecución, entonces el rootkit puede eliminarse de esta lista y a otros procesos que desee. Esta técnica se conoce como direct Kernel Objet Modification (DKOM). Híbridos Existe un tercer tipo de rootkit el cual combina lo mejor del rootkit de modo usuario (Fácil de usar y estable) y el rootkit modo kernel (ninja). Lo cual los lleva a ser el tipo de rootkits más usados actualmente.

6 Nuevos tipos Firmware Rootkits Es el siguiente paso en la sofisticación de rootkits pues estos pueden ser de alguno de los tipos anteriores pero con un bonito extra. Estos se pueden instalar en un firmware cuando la computadora está apagada y al reiniciar el rootkit se reinstalara, el firmwsre alterado puede ser el de cualquier dispositivo de la pc una tarjeta de video, un teclado, una lectora lo que sea y aunque un antivirus elimine el rootkit al reiniciar la computadora este volverá a la vida desde el firmware del dispositivo infectado. Virtual Rootkits Estos rootkits utilizan la virtualización para infectar los equipos y se hacen pasar por implementaciones de software o hardware de una manera similar a la que utiliza VMWare para virtualizar un sistema de cómputo. Estos rootkits son casi invisibles pues es difícil detectarlos, uno de los rootkits de este tipo más conocidos es blue pill el cual está basado en la virtualización x86. Cómo se Propagan los Rootkits? Los rootkits pueden propagarse por sí mismos y estos son parte de un solo componente conocido como blended treat. Los blended treat consisten básicamente en tres fragmentos de código: un dropper, un loader y el rootkit. El dropper es el que se encarga de que la instalación del rootkit se inicialice y este proceso siempre lleva la intervención de un astuto humano que de clic en un banner, instale un programa de dudosa procedencia o ejecute algún software donde va escondido el rootkit. Una vez inicializado el dropper lanza al loader y se borra a sí mismo. Una vez activo el loader causa un overflow en el buffer lo que lleva a cargar al rootkit en memoria. Estos blended treats pueden llegar al sistema afectado por vulnerabilidades de seguridad, ingeniería social o incluso por fuerza bruta. Síntomas de infección Encontrar un rootkit es frustrante pues estos están diseñados para estar escondidos y es difícil saber si el sistema que usamos tiene instalado uno, la mayoría de las veces que se detectan rootkits es por algún fallo en su

7 programación o por conflictos que generan en el sistema pero en teoría un buen rootkit no debe ser fácilmente localizable. Existe software especializado para la detección de rootkits pero por la naturaleza de estos no podemos estar 100% seguros de que nuestro sistema no tiene alguno. Bibliografia ent/white_papers/threat_center/wp_akapoor_rootkits1_en.pdf