Esteu aquí

Rootkits

Autor: Francesc Rovirosa - 28 oct. 2012 - Universitat Oberta de Catalunya

Grifó: British Library, Harley MS 4751, Folio 7vEls Rootkit són un conjunt d'eines usades freqüentment pels intrusos informàtics o atacants en general que aconsegueixen accedir il·lícitament a un sistema informàtic. Aquestes eines serveixen per a amagar els processos i arxius que permeten a l'intrús mantenir l'accés al sistema, amb finalitats malicioses. Hi ha Rootkits per a una àmplia varietat de sistemes operatius, com Linux (en totes les seves variants incloent-hi Mac), Solaris o Microsoft Windows. Per exemple, un rootkit pot amagar una aplicació que llanci una consola cada vegada que l'atacant es connecti al sistema a través d'un determinat port. Els rootkits del kernel o nucli del sistema operatiu poden contenir funcionalitats similars.

Un backdoor pot permetre també que els processos llançats per un usuari sense privilegis d'administrador executin algunes funcionalitats reservades únicament al superusuari. Tot tipus d'eines per a obtenir informació de forma il•lícita poden ser ocultades mitjançant rootkits.

Quins són els seus objectius:?
En general tracten d'encobrir a altres processos que estan portant a terme accions malicioses en el nostre sistema. Per exemple, si en el sistema hi ha una porta del darrere (backdoor) per a dur a terme tasques d'espionatge, el rootkit ocultarà els ports oberts que delatin la comunicació; o si hi ha un sistema per a enviar spam, ocultarà l'activitat del sistema de correu.

Els Rootkits, a l'estar dissenyats per a passar desapercebuts, no poden ser detectats. Si un usuari intenta analitzar el sistema per a veure quins processos s'estan executant, el Rootkit mostrarà informació falsa, mostrant tots els processos excepte ell mateix i tots els altres que estigui amagant. O si s'intenta veure un llistat dels fitxers d'un sistema, el Rootkit farà que es mostri aquesta informació però ocultant l'existència del propi fitxer de Rootkit i els dels processos que amaga.

Quan el nostre l'antivirus faci una crida al sistema operatiu per a comprovar quins fitxers hi ha, o quan intenti esbrinar quins processos estan en execució, el Rootkit falsejarà les dades i l'antivirus no podrà rebre la informació correcta per a dur a terme la desinfecció del sistema.

Com prevenir-nos:?
És necessari tenir un sistema que vigili no tan sols l'activitat dels arxius en el disc, sinó que vagi més enllà. I en lloc d'analitzar els arxius byte a byte, s'ha de vigilar el que fan a l'hora de ser executats.

Un Rootkit necessita dur a terme algunes tasques que es podrien considerar "típiques", com ara adquirir drets de root (super-usuari o super-administrador), modificar crides bàsiques al sistema operatiu, falsejar sistemes de report de dades del sistema, etc… Totes aquestes tasques, una a una, comporten poc perill. Però totes elles, juntes i en el mateix moment, dutes a terme pel mateix programa, proporcionen informació clara que alguna cosa una mica estranya està passant en el nostre ordinador. Si les solucions antivirus fracassen definitivament a l'hora de detectar un Rootkit, les noves tecnologies de detecció d'amenaces per comportament tenen la seva millor prova d'eficàcia en la detecció i bloqueig de Rootkits. Aquestes tecnologies no basen el seu funcionament en condicionaments prèviament apresos sobre patrons tancats d'identificació d'amenaces. El seu èxit es basa en la investigació intel•ligent i automàtica de la situació d'un procés en un ordinador.

Quan una sèrie d'accions es duen a terme sobre el sistema i totes elles (o, almenys, alguna) poden suposar un risc per a la integritat de la informació o el correcte funcionament de la màquina, s'avaluen una sèrie de factors que serveixen per a qualificar la perillositat d'aquesta tasca. Per exemple, que un procés vulgui prendre drets d'administració en un sistema pot ser més o menys habitual. I té un cert risc, sens dubte, però no cal alertar per això. Un simple instal•lador per a un joc pot necessitar tenir drets d'administrador per a poder dur a terme les modificacions necessàries i poder-se executar correctament. O per exemple, és possible que un determinat procés hagi de romandre ocult, ja que no existeix possibilitat d'interacció, o que un determinat procés obri un port en concret per a comunicar-se, o que registri pulsacions de tecles. Però totes aquestes característiques juntes fan que el procés es pugui considerar com una amenaça i sigui necessari una anàlisi en profunditat per a poder autoritzar l'execució de manera segura.

Una vegada infectats, què podem fer:?
Malgrat el que es ve dient, els Rootkits SI es poden eliminar (encara que no tan fàcilment). Aquests programes s'auto-protegeixen amagant-se i evitant que cap altre procés (com ara un antivirus) pugui detectar-los. Però perquè aquest procés pugui amagar-se, ha d'estar en funcionament i activat en la memòria del nostre PC.

La millor manera d'evitar que el procés entre en acció, és evitar l'arrencada del sistema operatiu en el disc en el qual es troba el Rootkit (generalment el nostre disc dur principal), utilitzant un disc diferent al del sistema infectat; com pot ser un CD. Així, si el Rootkit és reconegut, es podrà eliminar. No obstant això, si el Rootkit no és reconegut qualsevol antivirus fracassarà. En aquest cas, potser el problema informàtic és gairebé el menys important: hi ha una persona que, intencionadament, vol fer mal a l'empresa o al nostre PC i s'ha molestat a entrar en el sistema per a perjudicar-li ??.

Es pot llegir un article molt interessant de Mark Russinovich aquí.