Rootkit: Uma nova ameaça?

Desenvolvimento, evolução, formas de inserção, principais ataques entre outras características dos Rootkits são abordados no artigo referenciado. Trabalho acadêmico realizado sob orientação do prof. Marcelo Riedi - Unipar.

[ Hits: 52.763 ]

Por: cilmar em 14/02/2008


Alvos dos Rootkits



Com performance de códigos ainda melhores e mais eficientes depois dos últimos avanços descritos pela McAfee os Rootkis não necessitavam optar por alvos menos protegidos, bastavam algumas técnicas que de alguma forma levassem o seu desenvolvedor até o kernel do sistema, um sniffer, por exemplo, utilizado para capturar senhas em uma rede. A capacidade de um sniffer de agir em diferentes protocolos e interceptar diferentes pacotes torna o Hacker ou na maioria das vezes um Cracker apto a ter acesso a senhas de servidores e desktops depois que sua implantação for executada com êxito em uma organização computacional.

Desta forma servidores da organização Debian.org, responsável pela manutenção do sistema operacional Debian foram invadidos, neles foram implantados o Rootkit SucKIT como documentado e relatado pela própria empresa:

Na madrugada (GMT) de quinta-feira, 20 de novembro, a equipe de administração notou vários oopses do kernel no master. Uma vez que o sistema estivera rodando sem problemas por um longo tempo, a máquina estava próxima de ser levada para manutenção e para investigação aprofundada sobre possíveis problemas de hardware. No entanto, ao mesmo tempo, um segundo computador, murphy, estava passando por exatamente os mesmos problemas, o que levantou suspeitas dos administradores.

Investigações posteriores revelaram que a causa de ambos os problemas era o root-kit SucKIT (1.3b). Ele inclui sniffing de senhas e capacidade de evasão de detecção (ferramentas para esconder processos e arquivos) que são instalados diretamente no kernel, o que causou os oopses que foram notados. (Em: http://www.debian.org/News/2003/20031202.pt.html)

O Ataque ao servidor Debian serviu de inspiração a usuários de Rootkits, já que uma vulnerabilidade identificada podia demorar alguns dias para estar presente em todos os servidores, além disso, algumas empresas não realizam todas as atualizações as quais o sistema operacional necessita. Dias depois do incidente com a Debian.org um novo ataque foi realizado aos servidores da Gentoo, uma importante organização de software livres, o mesmo foi noticiado da seguinte forma:

A notícia do comprometimento do servidor Gentoo foi dada logo após a retirada do ar do site do Savannah, um servidor da Free Software Foundation usado para desenvolvimento de projetos da fundação. O sistema foi atacado no dia 2 de novembro deste ano, mas o comprometimento só foi descoberto nesta semana. Segundo o anúncio oficial divulgado, o ataque é semelhante ao sofrido pelos servidores do Projeto Debian em novembro.

O atacante usou o rootkit (ferramenta que, instalada na primeira invasão, permite que o atacante volte a entrar na máquina sem ser detectado) "SucKIT" para obter acesso às máquinas como "root. A extensão dos danos do ataque ainda não foi divulgada, nem mesmo se sabe se os arquivos do Savannah foram alterados ou danificados durante o período.

(Em: http://informatica.terra.com.br/interna/0,,OI230548-EI559,00.html)

Porém, ataques maliciosos com Rootkits não se restringiu apenas a distribuições de código aberto como Linux, importantes servidores da Microsoft também são alvos de Rootkits, e estes ainda mais precisos por parte dos atacantes, o Rootkit designado a ambiente Windows foi ainda mais eficiente quanto a sua função, tanto que ataques chegavam a levar mais de um ano para serem descobertos, causando dessa forma inúmeros problemas à administradores de sistema e consequentemente comprometendo as empresas:

Os atacantes, supostamente membros da máfia russa, usaram para infectar os clientes do banco o trojan/rootkit Haxdoor.KI. O Haxdoor instala um driver em modo kernel (xdpptp.sys), que é chamado mesmo se o sistema for iniciado em safe mode, que esconde o backdoor executado em modo usuário (xopptp.dll). Este backdoor realmente toma conta da máquina infectada:
  • Captura senhas de usuário e informação pessoal manipulada pelos mais diversos programas - MSN Messenger, Opera, Outlook, IE, Firefox, ICQ e outros - bem como qualquer senha enviada via POP3 ou IMAP. As senhas são enviadas para uma página no domínio skynet.info, usando um POST HTTP.
  • Escuta a porta TCP 16661 e executa comandos remotos. A funcionalidade implementada pelo backdoor é bem extensa, e vai desde fazer o upload de um arquivo para o hacker até iniciar um proxy HTTP na porta TCP 8008. Permite também comandar o rootkit para esconder arquivos adicionais, e abrir e fechar a porta do drive de CD.
  • Abre um shell remoto na porta TCP 16016.
  • Bloqueia sites de antivírus, desabilita serviços de proteção da máquina, etc. (...) [...] o banco somente descobriu o ataque 15 meses depois deles terem sido iniciados, quando os atacantes perderam a vergonha e começaram a fazer grandes transações usando as informações roubadas. Antes disso os atacantes faziam uma série de pequenas transações, e provavelmente poderiam continuar fazendo até hoje sem serem descobertos.
    (Em: http://istf.com.br/vb/showthread.php?t=10542)

Mesmo após a identificação e correção dos sistemas operacionais incidentes como esses não deixavam de acontecer, entretanto medidas drásticas passaram a serem tomadas pelos profissionais de TI, algumas delas restringiam até o acesso à Internet, outras optaram por liberarem apenas domínios tidos como seguros e necessários à política da empresa.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Desenvolvimento ao longo da História (1)
   3. Desenvolvimento ao longo da História (2)
   4. Três gerações
   5. Evolução e meios de inserção
   6. Alvos dos Rootkits
   7. Aplicação dos Rootkits
   8. Conclusão
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Nagios - Automatizando Auditorias de Rootkit

Matriz <-> Filial com o OpenVPN

Instalando Bind9 + chroot no Debian

Exploração de Falhas em Servidores FTP

MaraDNS: Simples - Seguro - Robusto (parte 3)

  
Comentários
[1] Comentário enviado por kalib em 14/02/2008 - 12:18h

Parabéns pelo excelente artigo meu caro....
Uma ótima abordagem dinâmica e completa sobre rootkits...
Realmente são uma preocupação constante para nós que administramos redes e servidores...
Principalmente com a enorme quantidade de scriptkids a solta por aí não é mesmo?! dá raiva.. hauhauha

Obrigado pela ótima contribuição amigo. ;]

[2] Comentário enviado por marcosmiras em 14/02/2008 - 14:52h

Muito show... legal mesmo...
Realmente Kalib, uma grande preocupação mesmo...

[3] Comentário enviado por denis.roschel em 14/02/2008 - 15:19h

Depois de uma extensa leitura, só posso dizer, PARABÉNS!!!
Muito explicativo e didático!

[4] Comentário enviado por Bique em 14/02/2008 - 16:41h

Parabens pelo artigo.

[5] Comentário enviado por alcarrolikis em 14/02/2008 - 17:44h

Ótimo artigo cilmar_oliveira.

Fazendo a diferença...

Vlw.

[6] Comentário enviado por exercitobr em 15/02/2008 - 08:55h

Show! Sem comentários!

[7] Comentário enviado por juliocm em 16/02/2008 - 19:49h

olá Colega você fala que a máfia Russa foi o núcleo, mas posso lembrar que aqui n oBRASIL existem a maioria! Aki no Brasil estão presentes os desenvolvedores de rootkit e os usuários de rootkit, sabe!
Bem, se alguém quiser posso liberar meu CD completinho pra uso! mas não me responsabilizo do uso incorreto!

[8] Comentário enviado por removido em 16/02/2008 - 20:55h

mukto bom esse esclarecimento, principalmente para mim que estou começando a entender de verdade o funcionamento de um SO...
valeu!!!

[9] Comentário enviado por Teixeira em 16/02/2008 - 21:31h

Gostei imensamente do artigo, bastante abrangente e direto.

Agora gostaria de perguntar:

1 - Qual a real possibilidade de conseguirmos essa espécie de malware em ambiente linux desktop?

2 - Há (também em desktop) a possibilidade de modificarmos o kernel sem ter que recompilá-lo?



[10] Comentário enviado por nicolo em 17/02/2008 - 13:02h

Cara , isso é de arrepiar os cabelos. Os caras entraram nos sites de grandes distros e bancos e reduziram a segurança do Linux (do windows também) a pó.

[11] Comentário enviado por engos em 18/02/2008 - 13:30h

cilmar_oliveira:
Trabalho desenvolvendo uma das primeiras soluções no mundo de firewall para aplicações onde o conceito é justamente ajudar que alguns ataques, como os de sniffers reportados, sejam interceptados e tratados sem possibilitar "vazar" as informações, por isso tenho um conhecimento bem interessante sobre o assunto e segurança em geral e mesmo assim devo confessar que fiquei impressionado pela qualidade de seu trabalho, apesar de ser uma visão bem macro do assunto, você soube exatamente como conduzir o trabalho e fez uma pesquisa muito interessante, parabéns!

Teixeira:
1 - Existem vários bugs relatados diariamente com relação a programas, ou até mesmo com o kernel que podem ser facilmente explorados.

Alem disso existem malware que se utilizam de phishing scan, sql injection, crossover script.... E a lista vai longe, isso tudo sem contar os famosos DoS, fazendo o sistema operacional ser indiferente, bastando apenas saber como explorar cada sistema, o que é bem simples dependendo das informações que você tiver.

2 - Somente se você instalar um novo kernel já modificado... É até mais simples do que parece conseguir fazer isso sem deixar rastro algum, uma vez conectado ao sistema, mas o grande problema são os bugs encontrados no Kernel que permitem acesso total para quem sabe explorar as falhas já relatadas, por isso sempre se deve ter um kernel recente e quando se trata de um ambiente que necessita de um monte de homologações (como banco por exemplo) esse processo é lento e pode ficar exposta essa falha dependendo de como é a segurança como um todo.

Claro que isso é bem mais complicado o que torna o linux um sistema muito mais seguro do que uns sisteminhas que tem a "janela" aberta pra qualquer "ladrão" entrar...


nicolo:
Segurança é algo tão complicado que nem precisa "vir de fora", para você ter uma idéia como isso é complicado, fui comprar passagens da TAM nesse sabado a noite, para aproveitar as promoções noturnas, e quando encontrei os preços que queria fui efuar a compra, mas quando estava no processo acabou o horário de verão e de 24h passou para 23h, com isso o site da TAM simplesmente CAIU MAIS RAPIDO QUE OS AVIÕES DELES!

O pior, o erro não era tratado e dava um monte de informações sobre o sistema deles que com um pouquinho de má fé qualquer programador experiente poderia ter acesso a informações que não deveriam.

Infelizmente a política de desenvolvimento ainda é muito infantil com relação a segurança quando se trata principalmente de aplicações.

[12] Comentário enviado por Osirix em 24/10/2008 - 12:07h

Não tenho palavras .. pro seu artigo..^^

ele estar simplesmente otimo !!!!!!! ..



[13] Comentário enviado por manhaes em 17/09/2009 - 01:24h

Excelente, de grande valia para profissionais em diversos setores, parabens!!!!!

Manhaes

[14] Comentário enviado por albfneto em 18/06/2011 - 19:13h

o artigo é ótimo, um especialista no assunto.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts