Kernel Hacking (RootKits)

Apresentamos neste trabalho uma teoria completa sobre kernel hacking, mostrando assim suas vantagens, desvantagens e soluções utilizadas pelos administradores de sistemas para contra-atacar as implementações tão geniosas dos atacantes, sobressaltando a utilização de rootkits.

[ Hits: 28.805 ]

Por: Guilherme Junior em 21/12/2006 | Blog: http://www.i9technologia.com/igui


Introdução



Após o alvo ser vítima de um ataque, o próximo propósito do atacante é estabelecer uma base fixa no atacado para obter acesso indevido sempre que quiser, sendo assim este fará uso de quaisquer recursos para que assim possa passar despercebido pelos administradores de sistema e usuários curiosos.

Um dos métodos utilizados pelos atacantes para esconder seus vestígios é a utilização de rootkits, programas que servem para esconder processos, conexões de rede e arquivos dos administradores, garantindo assim acesso fácil à vítima.

Vantagens, desvantagens e soluções

Até pouco tempo, na realização de ataques, comumente utiliza-se a alteração de programas muito utilizados pelos administradores para verificar processos (ps), conexões (netstat) dentre outros. Assim os administradores na realidade não estariam fazendo uso de um programa (ps, netstat) íntegro e sim de um programa alterado pelo atacante que, por motivos próprios, gostaria de esconder alguns vestígios.

O problema na realização deste tipo de cobertura de vestígio, ataque, é que para se obter sucesso necessita-se manipular um grande número de utilitários, tornando assim um tanto quanto inviável a sua prática. Resolvendo-se esse problema é que surgiram os rootkits.

Rootkits são na verdade conjuntos de ferramentas necessárias para a realização de um ataque, que antes seriam alteradas uma a uma pelo atacante e agora funcionam como um "kit invasão", ou seja, contém as mesmas ferramentas, só que agora já alteradas e prontas para instalação.

Devemos lembrar que muitos desses rootkits incluem backdoors e outros utilitários comuns entre hackers.

Vemos com algumas das desvantagens de utilizar-se rootkits, que estes podem ser facilmente detectados pelos administradores caso estes venham a fazer, por exemplo, uma comparação MD5 entre o arquivo original e o infectado. Outra desvantagem é que o atacante fica restrito às ferramentas manipuladas pelo rootkit utilizado, não podendo assim fazer uso de ferramentas diferentes ou então ao fazer o uso, teria então que alterar esta ferramenta para assim esconder vestígios.

Buscando soluções para os rootkits é que surgiram os "caçadores de rootkits", utilitários cuja finalidade é detectar a presença de rootkits na máquina. Cada um desses "caçadores" utiliza uma forma de detecção de rootkit, uma delas foi citada acima, a comparação MD5 entre arquivos originais e infectados.

Uma falha que o administrador de rede poderá encontrar ao utilizar-se de "caçadores de rootkits" é que estes tomam por base os arquivos originais encontrados nas diversas distribuições. Imaginemos agora que, por motivos próprios, o administrador da rede venha a manipular o arquivo "ps" por exemplo. Logo, ao finalizar a manipulação de tal arquivo e experimentar um caçador, este alegaria a presença de um arquivo possivelmente infectado.

    Próxima página

Páginas do artigo
   1. Introdução
   2. Kernel dinâmico
   3. Como encontrar a tabela de chamadas de sistema
Outros artigos deste autor

Entendendo o que é Engenharia Social

Leitura recomendada

Kernel atualizado no Debian - Parte II

Sistema de arquivos EXT4 no OpenSuSE 11.1

Compilando kernel com suporte a POM (path-omatic) e Layer7 no Debian e Slackware

Controle de tráfego utilizando HTB no Debian Sarge

Instalando automounter e configurando o autofs no Debian Sarge

  
Comentários
[1] Comentário enviado por agk em 21/12/2006 - 10:42h

Interessantíssimo esse artigo, parabéns, por esses e outros motivos sempre é importante baixar somente programas de origens confiáveis, pois do contrário poderá ter seu sistema completamente comprometido.

[2] Comentário enviado por d4rkness em 21/12/2006 - 11:36h

Muito bom o artigo. Principalmente porque não se tem muito material em PT-BR sobre rootkits e afins. E nem como eles agem.

10.

Parabéns

[3] Comentário enviado por IcePeak em 21/12/2006 - 12:16h

Mando mtt bemm!!

Já te mandei um e-mail blz??

FALOWSS!!

IcePeak

[4] Comentário enviado por removido em 21/12/2006 - 16:55h

Ótimo artigo


Saber como os RootKits funcionam é ótimo, pois é uma ameaça real em servidores Linux.

[5] Comentário enviado por a.paulo2007 em 23/12/2006 - 16:16h

Valeu,pois esta ferramenta maliciosa(Rootkits),com certeza sao as mais ultilizadas na atualidade ,visto que,a mesma fornece muita objetividade,agora quanto a ser detectadas ou não vai de depender de quem configura o Rootkits e dos administradores que manipulam os caçadores de Rootkits,valeu camarada por fornecer esse conhecimento,obrigado!!!

[6] Comentário enviado por presto em 24/12/2006 - 16:51h

Excelente artigo!

Exatamente o que eu estava precisando!

Que tal uma continuação se aprofundando nos rootkits que "trabalham" no kernel?

[7] Comentário enviado por frajolitzz em 26/12/2006 - 17:50h

Parabéns amigo ;)
Ótimo artigo!!

[8] Comentário enviado por caugustofo em 29/12/2006 - 09:33h

Parabéns, Guilheme.

Muito bom o seu texto.

Só queria contribuir com uma observação.

Como vc mesmo alertou, há uma enorme possibilidade de se manipular a tabela de interrupções, seria prudente o administrador utilizar ferramentas de administração de sistema compiladas estaticamente e, se possível, gravá-las em uma mídia (cd ou dvd).

Assim, vc garante que , mesmo que seu sistema seja invadido e um rootkit seja utilizado, vc não terá uma saída duvidosa de seus comandos de administração, como ps, netstat e lsmod.

Por fim, gostaria de parabenizar você pela iniciativa e , acima de tudo, pela abordagem no seu texto. Estou no aguardo de mais artigos sobre o assunto.

Parabéns ;-)


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts