Sunteți pe pagina 1din 22

CARACTERISTICAS Y FUNCIONAMIENTO DEL MALWARE

ROOTKIT: EL ENEMIGO FURTIVO

Escrito por: Bernardo Hernndez Para: ESET PUMTISA 2012

Universidad Mariano Glvez De Guatemala Centro Universitario Zacapa.

Abstract The malware is always evolving and finding new ways to attack us, its properties are becoming more varied, giving it a lot of tricks to get illegal access to systems. In the world of the malware, there is a group of techniques which in combination with it can create a kind of program able to hide from the most security tools. These techniques are called ROOTKITs technologies. This Document is trying to introduce the user in the world of stealth malware, ways to detect it and fight it, with a special look into this to dissect the code lines that represent the core of its operation and how the rootkit has impacted the world of security, taking its past, analyzing the present, and trying to predict the future, with the aim to exploit one of the best weapons to combat it: the knowledge.

INDICE GENERAL:

TEMA Introduccin BASES


Historia Rootkits: Conceptos Bsicos y Primera Aproximacin: Stuxnet

PGINA
1

2 3

CLASIFICACION
Rootkits: Diferentes Tipos de Sigilo Rootkits de Ncleo Rootkits de Aplicacin BootRootkis 4 5 5 6 7 7 7 9 10 11

CASO DE ANALISIS: Rootkits Diseccionando las entraas del Intruso


Anlisis de Tcnicas de Ocultamiento en la familia TDL TDL-1: El pionero - Interceptando funciones de sistema TDL-2: Sigilo Teatral - Mejoras en Interceptado TDL-3: Infeccin de ficheros .sys TDL-4: El indestructible - Encriptacin

ESTADISTICAS
Impacto del Rootkit en el Mundo 12

BUSQUEDA DE SOLUCIONES
Rootkits VS software de seguridad: combate heurstico 13

PANORAMA FUTURO
Rootkits: Nuevas Tendencias y otros Conceptos. 14 17 18

CONCLUSIONES REFERENCIAS

INTRODUCCION:
El mundo del malware se ha vuelto increblemente extenso, basta hacer una comparacin desde sus inicios hasta los diferentes modos y diseos que la actualidad nos presenta. Tenemos ya Toda una familia de software perjudicial con objetivos muy variados, entre los cuales esta robar nuestra informacin, ver cules son nuestros gustos e intereses, controlar de forma remota nuestros ordenadores y un sinfn ms de casos que ciertamente vienen a ser molestos, pero que pueden ser solucionados teniendo nuestros sistemas y aplicaciones antivirus siempre actualizados. Pero qu pasa cuando una de estas amenazas utiliza tcnicas que hacen extremadamente difcil o incluso imposible su deteccin? ROOTKIT, es el termino objeto de esta investigacin, dentro de todas las caractersticas y funcionamiento del malware, el Rootkit es una serie de herramientas que usadas de forma maliciosa acompaan a las amenazas informticas en su campaa por infectar nuestro sistema y ocultarlas incluso a las herramientas de seguridad ms sofisticadas. Estas herramientas de ocultamiento entre otras cosas son capaces de hacer modificaciones en las listas de proceso para encubrir la actividad de acciones sospechosas, ocultar puertos abiertos en el ordenador que delaten la comunicacin, crear puertas traseras para espionaje e incluso deshabilitar cualquier tipo de software de seguridad. Las posibilidades de los Rootkit solo estn supeditadas a la imaginacin de sus creadores y constituyen al da de hoy uno de los peligros ms grandes en cuestiones de seguridad, dado el hecho de que no solo ocultan otras amenazas, si no a ellos mismos, haciendo de esta manera un verdadero calvario el hecho de obtener informacin de l para realizar un anlisis y encontrar solucin. Por ltimo, no debe pensarse que su deteccin e incluso eliminacin es imposible, las tcnicas y herramientas heursticas antimalware de la actualidad traen a nosotros un arsenal de elementos capaces de hacer frente a esta amenaza furtiva. Esta investigacin tiene como objetivo servir de introduccin en el estudio de esta tecnologa, durante las siguientes paginas abordaremos con cuidado de donde viene el Rootkit, que categoras lo componen, como se combina con el malware, el impacto actual en nuestra sociedad, sus tendencias y por supuesto como prevenirlo y combatirlo. As que, sin ms, adentrmonos por completo en este concepto, veamos el porqu de su peligrosidad y la importancia de una de las mejores armas para combatirlo: el conocimiento.

Bernardo Hernndez

Rootkit: El enemigo furtivo 1

HISTORIA:
Antes de mencionar antecedentes histricos debemos definir la palabra Rootkit, la historia sita el origen del termino Rootkit en los sistemas Unix y descendientes del mismo, dividiendo el termino en 2 partes: primero la palabra Root para referirse al usuario con el nivel ms alto en la jerarqua de derechos en el sistema, este usuario es el administrador del mismo, y la palabra Kit que se refiere a un conjunto o paquete de herramientas, por tanto, juntas se consideran como un paquete de herramientas para conseguir privilegios de administrador. Dentro de la cronologa de los Rootkits hay varios puntos a tener en cuenta, dado que ao tras ao surgan multitud de versiones, nos limitaremos a mencionar algunos de los ms relevantes por su complejidad y sistema atacado. El origen de los Rootkits nos remonta a finales de los aos 80 y principios de los aos 90s, en esta etapa, precisamente 1986, encontramos el virus Brain, que fue el primer virus informtico documentado y diseado para atacar la plataforma PC infectando el sector de arranque, utilizando tcnicas de camuflaje para ocultarse, sus creadores, los hermanos Basit Alvi y Amjad, de Pakistn lo disearon con fines muy opuestos a objetivos maliciosos, puesto que su misin era proteger ante el emergente pirateo, los programas que ellos mismos creaban y comercializaban [1] , de esa fecha a 1990 rpidamente podemos contar algunos ejemplares de Rootkit escritos por Lane Davis y Stecen Dake para el sistema SunOS[2]. Ms adelante, All por 1996 podemos encontrar los primeros rootkits para sistemas Linux y un par de aos luego tuvimos las primeras versiones de Rootkits para sistemas Windows, especficamente en sistemas NT de la mano del sr. Greg Hoglund, quien fue uno de los primeros en disear y construir una herramienta para ocultar datos en el sistema mediante la combinacin de varias tcnicas de evasin de las caractersticas de proteccin en Windows [3]. Esta informacin se public en la revista en lnea PHRACK en el ao de 1999 y fue bautizada con el nombre de NTRootkit [4], otro evento de especial mencin de esta fecha en la cronologa sucedi en 2003 cuando apareci un sucesor de NTRootkit, el HackerDefender, que tambin se infiltraba en el sistema a tan bajo nivel que era increblemente difcil detectar su presencia. Por ltimo y en tiempos ms recientes Mac OS X vera una versin de Rootkit para su sistema en 2009[5], luego de eso un ao ms tarde, nos sorprende el descubrimiento de Stuxnet un gusano capaz de afectar equipos Windows reprogramando controladores lgicos programables y ocultar los cambios realizados, en otras palabras es conocido como el primer gusano-Rootkit para sistemas PLC [6]. Un punto ms a mencionar, aunque ya fuera de lugar en nuestra lnea de tiempo es el caso del Rootkit de Sony en 2005, utilizado por la compaa para distribuir un mecanismo de proteccin contra copias en sus Cds sin previo consentimiento y/o conocimiento de los usuarios, lo que causo una batalla legal y muchas prdidas por indemnizaciones a los mismos, aparte del revuelo y escndalo ocurrido, este caso

Rootkit: El enemigo furtivo 2

refleja muy bien el impacto que los Rootkits pueden llegar a tener en nuestra sociedad. [7]

Rootkits: Conceptos Bsicos y primera aproximacin


Tomaremos el concepto del sr. Hoglund[3], para definir el Rootkit como tal y sus objetivos maliciosos al asociarlo al malware: es un conjunto de programas y cdigos que permiten, constante o permanentemente, una presencia indetectable en un sistema, como lo mencionbamos antes, un Rootkit es un kit de herramientas frecuentemente asociadas con el intento de ganar acceso privilegiado o mantener dicho acceso ocultando el hecho de que el sistema ha sido comprometido [8]. Esto nos indica que este conjunto de tcnicas y herramientas posibilitan seguir manteniendo el acceso al sistema infectado para fines maliciosos, ocultando siempre cualquier rastro de su existencia por tiempos muchas veces prolongados. Entre los servicios que brinda a su creador, un Rootkit puede dejar abierta una puerta trasera, ocultar, o limitar el acceso a elementos como: La lista de procesos del sistema Archivos hilos Puertos de comunicacin

Adems de los servicios anteriores, esta herramienta del malware puede ser usada para: Recolectar/robar informacin importante sobre procesos Sabotaje Crear servidores de recursos para actualizaciones de botnets[11,12]

Lo mencionado anteriormente (algunos elementos en las listas) no tiene por qu tenerse como malicioso necesariamente, puesto que los sistemas operativos actuales ocupan ciertas tcnicas de ocultamiento. no queremos que usuarios no autorizados borren por error archivos y directorios crticos en nuestro sistema o s? Pero utilizado de forma maliciosa, el Rootkit se convierte en el mayor aliado del Malware y en la pesadilla de Nuestra Seguridad. Como ejemplo prctico de cmo funciona Un Rootkit y para ver la diversidad de campos en los que puede atacar, incluso de forma especial y enfocada a un sistema particular, citaremos el campo industrial, en sistemas como WinCC[9,10] corriendo sobre Windows 95 o NT para el control de maquinaria y procesos, junto con dispositivos PLC conectados, El Rootkit modifica la integridad del husped para ocultar otros programas, el gusano STUXNET afecta a los Siemens S7 PLCs[9], bsicamente el gusano contiene funciones y puede enviar todas o parte de ellas a

Rootkit: El enemigo furtivo 3

los dispositivos comprometidos, escondiendo los programas modificados, veamos el siguiente Diagrama:

Explicando el Diagrama anterior, se deduce que el gusano esconde programas modificados para el PLC marcando cada una de sus funciones bloque en una forma especfica. Aparte de las funciones bloque el Rootkit contiene un Wrapper con una librera, especficamente la s7otbxdx.dll que Siemens utiliza en sus herramientas de programacin para leer y escribir funciones bloque en sus PLC. La librera contiene cdigo para reconocer las funciones bloque marcadas por el gusano, Cuando un usuario utiliza las herramientas de programacin en un Host con sistema WinCC comprometido para ver la programacin que el gusano ha modificado, la funcin del Wrapper es mirar dentro de la lista de funciones bloque del PLC, y filtrar fuera de ella los bloques propios del STUXNET, como resultado de esto la herramienta de programacin mostrar solo las funciones legitimas en el PLC, todo lo dems es invisible para la herramienta. Es justamente lo que explicbamos al iniciar esta seccin, verdad? ocultar, hacer invisible un proceso y de qu me sirve esto?, bueno, con esta puerta trasera abierta y el sistema comprometido, el objetivo del creador del Rootkit podra ser robar informacin industrial, formas de realizar los procesos, secretos e Ideas de la compaa, o simplemente sabotear sus operaciones, este es solo uno de los tantos casos en los que estas herramientas diseadas para el malware sigiloso impactan en nuestro medio. Luego de esta pequea mirada a los bsicos del Rootkit, entraremos de lleno a ver sus diferentes tipos y formas, para luego en la siguiente seccin adentrarnos especficamente en su mecnica de funcionamiento.

Rootkits: Diferentes tipos de Sigilo


Dentro del mundo de los Rootkit, encontramos dos grandes rubros: Los Rootkits Que Poseen un ncleo, y aquellos que funcionan como aplicaciones, vamos a definir cada uno y veremos algunas otras clasificaciones que han surgido.

Rootkit: El enemigo furtivo 4

Rootkits De ncleo: citando a Wikipedia encontramos que este tipo de Rootkit acta desde el kernel del sistema donde se aloja[13], bsicamente lo que hace es aadir o modificar parte del cdigo de dicho kernel para ocultar la backdoor (como mencionamos antes), esto se logra aadiendo cdigo al ncleo mediante algn Driver o modulo, si est en Windows hablamos de los dispositivos del sistema, si se encuentra en Linux entonces hablamos de los mdulos de kernel, de esta manera se consigue parchear las llamadas al sistema con versiones falsas que esconden informacin sobre este parasito, esta clasificacin de Rootkit es mucho ms peligrosa que la versin de aplicacin y su deteccin puede ser casi imposible. Ya definimos que esta versin ataca a nivel de kernel, pero, Cmo lo hace?, una de las formas de tomar el control a este nivel, en Windows, es modificar la SSDT (System service Descriptor Table), esta tabla se encuentra en la memoria del kernel y contiene todas las direcciones de las llamadas a funciones del sistema, tambin en la memoria del kernel. Con el simple hecho de modificar esta tabla, el Rootkit puede redirigir la ejecucin de su cdigo en lugar de la llamada original de sistema, y luego removerse a l mismo de los resultados devueltos para evitar ser detectado. Otra forma de ataque en este tipo de Rootkit es modificar la estructura de los datos en la memoria del kernel, por ejemplo, la memoria del ncleo debe mantener una lista de los procesos que corren, y el rootkit puede simplemente removerse a el mismo y a otros procesos si lo desea de la lista [16], esta tcnica es conocido como una modificacin-objeto directa del kernel (DKOM).

Rootkits de Aplicacin: Esta clasificacin es ms superficial que la anterior, pero es capaz de reemplazar los archivos ejecutables legtimos con sus propias versiones ckackeadas conteniendo algn troyano (lo ms tpico), otra opcin es modificar la forma en la que las aplicaciones disponibles se comportan usando cdigos inyectados, parches y otras opciones. Un Rootkit de este tipo se ejecuta como una aplicacin o dentro de otro programa y modifica las llamadas de los procesos correspondientes a las APIS [16], o interfaz de programacin de aplicaciones, como cada aplicacin se ejecuta dentro de un espacio de memoria, el Rootkit debe modificar cada uno de esos espacios para infiltrarse en cada vista de la aplicacin, para lograrlo debe modificar las DLL del sistema. Como ejemplo de esta modificacin podemos ver una aplicacin que tal vez necesite enumerar todas las claves de registro en el sistema, para hacer esto, la

Rootkit: El enemigo furtivo 5

aplicacin llama una API de Windows, especficamente RegEnumKey, su cdigo se encuentra en la librera ADVAPI32.DLL, entonces un Rootkit de aplicacin tiene como misin encontrar la ubicacin de la API en ADVAPI32.DLL y modificar dicha API, luego de eso, cuando la API es invocada, la ejecucin es redirigida al cdigo del Rootkit, quien generalmente llama l mismo (el Rootkit) a la API y modifica los resultados devueltos, ejemplo de esa modificacin seria ocultarse de la lista de claves de registro devueltas, en resumen este tipo de Rootkit ataca a nivel de API y libreras.

Otras clasificaciones de Rootkit: Rootkit de inicio Bootkit: BootRootkit: o simplemente Bootkit, es una forma especial dentro del grupo, bsicamente lo que hace este espcimen es utilizar tecnologas de infeccin en el sector de arranque de los sistemas (MBR), otorgndole el control al malware antes de que el propio sistema operativo arranque! Y esto tambin incluye el arranque de cualquier proteccin antivirus, como dato a tener en cuenta, estos aparecieron ms intensamente durante el ao 2007, por esa fecha puede mencionarse al famoso Backdoor.Win32.Sinowal[14], este es solo uno de sus tantos alias, e identifica lo que ya mencionamos en la seccin de bsicos del Rootkit: la instalacin de una puerta trasera para posterior control, su forma de instalacin es a travs de sitios web con el tpico Drive-by download[15], veamos el siguiente esquema para visualizar su interaccin con el sistema Windows:

El diagrama anterior muestra que luego de la infeccin se introducen instrucciones en el MBR que ceden el control de la parte principal del Rootkit, el cual ya est en varios sectores del disco y no aparece como fichero en el sistema, luego de esto, se toma el control del sistema operativo (Windows en nuestro caso) y mediante intercepciones y modificacin a las funciones del sistema se oculta el MBR infectado

Rootkit: El enemigo furtivo 6

y otros sectores para mostrar copias legitimas de ellos. Lo anterior es muy similar a lo que vimos en el ejemplo del sistema con PLC. Existen otros tipos de modalidades en el mundo del Rootkit, como el trmino Blue Pill, pero, dado que la clasificacin general es la que acabamos de abordar (haciendo mencin especial de los Bootkits) y por tener ese toque de novedad, abordaremos estas modalidades en la seccin Rootkits: nuevas tendencias y otros conceptos.

Rootkits: Diseccionando las entraas del intruso


Esta seccin es bastante interesante como podr ver, seor lector, puesto que indagaremos dentro del caparazn del Rootkit. Podremos ver algunas tcnicas combinadas con el malware para obtener ese toque de sigilo. Bien podramos analizar ejemplos como Cutwail, Rustock o Hupigon, pero, me ha llamado mucho ms la atencin la tecnologa implicada en TDSS[17], o comnmente como se le conoce TDL, la cual es ya una familia de malware que en su ltima versin (la cuarta) est causando terror por su capacidad para secuestrar ordenadores y crear las denominadas Botnets [12], que al da de hoy constituyen un verdadero problema de seguridad informtica y es aqu donde se tiene el punto de encuentro entre estas Redes Ciber-criminales y el tema que nos atae Los Rootkits , tomaremos los TDL como conejillo de indias para nuestro anlisis de cdigo justamente en un extracto de las lneas donde se lleva a cabo las funciones de ofuscacinocultamiento, adems de otras tcnicas de ataque, para entender tcnicamente como operan estos parsitos en los sistemas y en que radica la dificultad de detectar un malware que se vale de estas artimaas. TDL-1: El pionero Comenzamos nuestra diseccin con la primera versin de esta familia[17], bsicamente su tcnica se basa en ocultar las ramas criticas del registro, ocultar ficheros crticos en disco, introducir cdigo malicioso en los procesos del sistema desde el driver en modo de ncleo, as como esconder puertos de red, entre otras cosas. Consultando en sitios como www.securelist.com podemos hacernos de una idea de la forma en que trabaja este Rootkit y dems versiones del mismo al ocultar los ficheros: se agrega un filtro a la pila o stack de drivers en el sistema, esto arroja 2 resultados, primero se esconde en el disco los ficheros cuyos nombres inician con TDL, segundo, si se intenta abrir el tomo \Device\HarddiskVolumeX, se obtiene un error que provoca que cualquier software de seguridad funcione incorrectamente porque requiere el acceso al tomo mencionado para analizar a bajo nivel la estructura de nuestro sistema de ficheros.

Rootkit: El enemigo furtivo 7

Para ocultar los puertos se agrega un filtro a la pila de dispositivos \Device\Tcp. La ocultacin de las ramas de registro del rootkit y los datos de configuracin se logra interceptando la funcin del sistema: NtEnumerateKey, a continuacin vemos una imagen donde se aprecia lo expuesto usando el mtodo de splicing, basado en la sustitucin de cierta cantidad de bytes en el principio de la funcin por un desvo que nos conduce hasta el driver malicioso:

Podemos apreciar que tambin se intercepta la funcin de sistema NtFlushInstructionCache, lo cual, con su llamada otorga capacidad al Rootkit para ejecutar otras funciones adicionales, como pudiera ser destruir un flujo, desbloquear una ejecucin, destruir un proceso, ocultar un DLL cargado, obtener la lista de procesos en ejecucin, etc., vemos a continuacin un extracto del Script necesario para llevar a cabo estas funciones:

Rootkit: El enemigo furtivo 8

Para poder ocultar su driver en el sistema, el Rootkit separa el modulo cargado de la lista de drivers PsLoadedModuleList, si nos adentramos un poco en el cdigo vemos que su sintaxis no es para nada diferente al de las aplicaciones benignas que muchas ocasiones hemos tenido el gusto de desarrollar en lenguajes como C, vemos condicionales If, else, funciones con parmetros y retornos, la lnea amarilla es de particular atencin, la llamada a la funcin HideDllFromPEB prcticamente nos indica con su nombre sobre las intenciones de este cdigo a nivel de manipulacin de las DLL, pero en resumen, TDL-1 es ya cosa del pasado, su deteccin y eliminacin es posible, por lo mismo las versiones siguientes del Rootkit traen consigo mayor dificultad.

TDL-2: Sigilo con un toque Teatral Esta Versin del Rootkit TDL, tiene una connotacin un tanto curiosa, me gusto darle el subttulo de Teatral, puesto que en el fichero del mismo tiene un conjunto de palabras tomadas de la obra de William Shakespeare Hamlet, esta tcnica busca confundir al analista de virus, un extracto de este fichero [18] nos deja ver a que juegan los creadores de Malware en su afn por hacer su deteccin ms difcil, las diferencias con la versin anterior radican en un mayor camuflaje y defensa, ahora las funciones de ncleo interceptadas han aumentado en la siguiente lista: IofCallDriver IofCompleteRequest NtFlushInstructionCache NtEnumerateKey (viene de TDL-1) NtSaveKey NtSaveKeyEx NtQueryValueKey

Qu hace posible la no-deteccin de TDL-2? En la lista anterior figura la intercepcin de 2 nuevas funciones (NtSaveKey y NTSaveKeyEx), esta arma es usada para impedir que algunas herramientas de

Rootkit: El enemigo furtivo 9

seguridad (Anti-malware / Anti-Rootkits) detecten las anomalas en el registro del sistema y con esto la presencia de algn Malware activo en el Ordenador. Por otro lado la intercepcin de las funciones IofCallDriver e IofCompleteRequest, permite al rootkit anular operaciones exitosas (ej. Apertura de un fichero), entre otras cosas, tambin con esto, se devuelve el error STATUS_SECRET_TOO_LONG lo cual confirma la anulacin de la operacin exitosa. TDL-2 tiene un truco con la rama del registro ServiceGroupOrder, encargada del orden de carga de nuestros drivers, si TDL-2 detecta un driver cuyo orden de carga esta al principio de la lista, entonces, la entrada del mismo en el registro se corrige de tal forma que se inicie mucho despus. Esto es suficiente para evadir a muchos antivirus modernos porque permite al Rootkit pasar inadvertido, no conformes con eso, los escritores de malware nos atacan con la siguiente versin a analizar: TDL-3.

TDL-3: Nuevas caractersticas. Esta versin del Rootkit toma todas las ventajas y descubrimientos anteriores, mejorando an ms su autodefensa y agregando otras funcionalidades, pero no hay porque asustarse, puede ser vencido, veamos que ofrece y como cambia respecto a los anteriores. La forma de infeccin del mismo es por medio de un virus de fichero que infecta los componentes del sistema, la infeccin de los drivers del sistema se lleva a cabo al azar, segn le sean tiles o no, las versiones tempranas de TDL-3 eran ms primitivas, usando el driver atapy.sys [17], la infeccin es tan perfecta y a tal nivel que el fichero original no sufre cambios en su tamao, esto permite engaar a los antivirus / antirootkits que se basan en la comparacin de tamaos de ficheros para deteccin de amenazas.

Un elemento extra en TDL-3 es que usa una implementacin propia del sistema de cifrado de ficheros, en donde guarda sus datos de configuracin y bibliotecas adicionales del modo usuario/aplicacin, por tal motivo, ya no necesita de sistemas de ficheros FAT o NTFS como tales. Por ltimo, y como es de esperarse, TDL-3

Rootkit: El enemigo furtivo 10

oculta datos crticos sobre su existencia utilizando la tcnica de suplantacin del objetivo que sirve al dispositivo del sistema, esto conduce a la funcin interceptora del Rootkit, que filtra las solicitudes a los sectores del disco con los datos necesarios para que l (El rootkit) funcione, cuando una herramienta de seguridad quiere leer el driver que se ha infectado (como vimos en la figura 6: el fichero.sys), el Rootkit devolver el contenido del fichero antes de su infeccin (ocultado as las verdaderas acciones maliciosas).

TDL-4: El indestructible? Vamos a tomar informacin del sitio web de la compaa ESET [19] respecto a esta ltima versin del Rootkit, se dice que es la amenaza ms compleja conocida hasta el momento, algunos lo llaman el virus indestructible entre otros eptetos. Y no es para jugar, sus capacidades son totalmente superiores a las vistas en las 3 versiones anteriores, listo para afectar sistemas de 64 bits modernos como Windows vista y 7, incluso aquellos sistemas que requieran firmas digitales de drivers (como los mencionados), haciendo parcheo de kernels y quebrantando su seguridad, una notable mejora es su sistema de encriptacin del protocolo usado para la comunicacin de los equipos infectados y creacin de las botnets, a continuacin vemos en la figura un extracto del archivo y elementos que usa como llave de encriptacin:

Esta versin como mencionbamos en ocasiones anteriores, modifica el MBR del sistema para cargarse incluso antes que el sistema operativo, lo que tambin le da un toque de Bootkit (definido en la seccin tipos de rootkit), por ltimo y como dato estadstico: esta versin tiene ms de 4 millones de equipos infectados a nivel mundial, lo que ha dado nacimiento a las botnets ms poderosas de la historia.

Rootkit: El enemigo furtivo 11

Estadsticas: Impacto de los Rootkits en el mundo:


En esta seccin nos ocuparemos de mostrar cifras y porcentajes de la influencia que este tipo de amenaza ha conseguido en el mundo informtico, por lo menos desde fechas recientes, iniciando con una estadstica de la firma Kasperski [20] en el ao 2005, en este nico ao, el nmero de Rootkits aumento 413%, tras este enorme crecimiento, 2006 no disminuyo su fabricacin manteniendo un +74%, segn la misma estadstica 2007 en promedio (ao completo) sobrepaso el 116%, haciendo mencin especial en los primeros 6 meses de ese ao donde se tuvo 178% arriba en la manufactura de malware usando Rootkit para camuflarse como refleja el siguiente cuadro:

Rootkit: El enemigo furtivo 12

Estadsticas ms actualizadas, pueden apreciarse en un completo reporte sobre seguridad informtica emitido por la firma McAfee [21] de donde extraemos la siguiente grfica:

La grafica revela que los Rootkits, siendo parte del malware, promedian 65000 unidades por mes, un nmero alarmante, puesto que dependiendo de su complejidad y caractersticas, se determina el tiempo necesario para generar soluciones de deteccin y eliminacin. Puede apreciar la diferencia de las cantidades entre la figura 9 y la figura 10?, en un par de aos pasamos de tener 25000 unidades por mes (como mximo punto en la figura 9) a tener 65000 como promedio entre 2010 y 2011. Es impresionante el aumento de apariciones de este tipo de amenaza, y el panorama parece an ms desalentador, puesto que el constante soporte, correccin de errores y adicin de funciones no termina, pronosticando para el ao 2012 de nueva cuenta, un alza en los nmeros de las grficas.

Rootkits VS software de seguridad: combate heurstico


La lucha contra este tipo de amenazas es un duelo interminable de inteligencias, tanto de los creadores de software de seguridad como de los escritores de malware, este va y viene de poderes resulta en la creacin de tcnicas nuevas, cada vez ms sofisticadas, por un lado para deteccin y por el otro para evasin, ya vimos en secciones anteriores las artimaas usadas por algunos Rootkits para evitar la deteccin, detengmonos un poco ahora para ver las maneras de deteccin ms usadas por el software de seguridad: empezando con la clsica deteccin por firmas[22], mtodo ya maduro y usado por el software antivirus por aos, es un buen mtodo reactivo para la deteccin /eliminacin, pero falla, al tener que esperar el registro de la amenaza en su base de datos para reconocerla, por tanto necesitamos hacer uso de la Deteccin Heurstica, la cual basada en el comportamiento, identifica los Rootkits reconociendo ciertas desviaciones en la actividad normal del ordenador. Otro mtodo bastante efectivo se basa en la Deteccin por

Rootkit: El enemigo furtivo 13

Comparacin, al comparar los resultados devuelto por el Sistema operativo y los obtenidos con llamadas a bajo nivel, si difieren, entonces existe un Rootkit. Por ultimo podemos mencionar un mtodo ms: Deteccin por Integridad, esta tcnica compara archivos y memoria con un estado anterior confiable, de igual forma, de haber diferencias se habr detectado la amenaza. De estas tcnicas han surgido muchos esfuerzos por parte de las compaas de seguridad, que implementan en sus productos la tecnologa Anti-Rootkit. La Deteccin Heurstica debe formar parte indispensable de las herramientas de seguridad como arma Proactiva ante amenazas tan peligrosas como los Rootkits, usndola puede determinarse la deteccin de familias de malware por la semejanza en su cdigo y crear vacunas genricas. Esfuerzos de compaas lderes en el ramo de seguridad ya incorporan estas tcnicas, en sus productos [23,24], sealando la importancia de la heurstica y dividiendo la misma en 3 tipos: Genrica comparando un objeto sospecho con uno que se sabe es malicioso, Pasiva que explora el archivo observando qu intenta hacer, por ltimo, Heurstica Activa, la cual crea un ambiente seguro donde se ejecuta el cdigo para conocer su comportamiento (virtualizacin), sobre esta ltima tcnica trataremos un poco en nuestra siguiente seccin, pero vista desde el Angulo de los Rootkits (Blue Pill) al analizar las ltimas tendencias de estas amenazas. Por ultimo solo resta mencionar, el cuidado que deben tener las compaas de seguridad al disear los algoritmos heursticos de deteccin, deben optimizarse bien, puesto que tambin representan riesgos [23], como podra ser una mayor carga para la aplicacin antivirus o caer en el tema de los falsos positivos [25] ,detectando como amenazas aquellos cdigos que no lo son, varias organizaciones prestigiosas dan cuenta del xito de las pruebas heursticas en contra de las amenazas [26,27,28]. Se tiene mucha confianza en que conforme se vaya perfeccionando la tecnologa heurstica, se ir ganando terreno en esta Guerra. Algunas formas para poder defendernos nosotros mismos son: primero, evitar que el Rootkit se instale, teniendo una buena solucin antimalware en nuestro equipo, siempre actualizado y activo, tambin puede instalarse un Firewall contra accesos no autorizados y mantener su sistema operativo siempre actualizado, al menos con las actualizaciones crticas y parches de seguridad. Otra buena tcnica es iniciar con un sistema en otro disco, tomando el disco con el sistema que se cree infectado y realizando un anlisis del mismo, con el Rootkit inactivo las posibilidades de deteccin y eliminacin crecen. Todo esto contribuir en gran medida a evitar la infeccin y ayudar en cierta forma para que nuestras herramientas de seguridad se hagan con la victoria.

Rootkits: Nuevas Tendencias y otros Conceptos


En esta ltima seccin trataremos algunas de las ltimas tendencias de los Rootkits, y algunos otros conceptos, ya en otras secciones discutamos sobre trminos como Blue Pill, TDL-4, etc. Vamos a abordar un poco sobre el primero; Blue Pill. Debe saber antes que el tipo de Rootkit en donde se desarrolla este son los llamados Rootkits de Virtualizacin. El proyecto Blue Pill fue creado por Joanna Rutkowska, su sitio web presenta informacin sobre su trabajo [29]. Este concepto Fue Lanzado en el Black Hat de 2006, aunque ya ha pasado buen tiempo, es til

Rootkit: El enemigo furtivo 14

mencionarlo, puesto que es el primer Rootkit basado en la premisa virtual. Su funcionamiento se explica en que las CPUs modernas como AMD e Intel incluyen un buen nmero de funcionalidades que soportan virtualizacin de sistemas operativos [30,31], como ya no se necesita modificar el sistema para funcionar, esta clase de Rootkits es mucho ms difcil de detectar. Chequear la tabla de llamadas al sistema es totalmente inservible, se menciona que Rutkowska afirm hace tiempo que poda crear malware indetectable al 100% usando Blue Pill, en www.virusbtn.com puede leerse una entrada con el articulo donde es retada para demostrarlo[32]. Cualquier Malware encubierto por Rootkit que haga uso de la virtualizacin sera capaz de tomar el control del sistema operativo instalndose onthe-fly (sin necesidad de reiniciar el sistema y sin modificar la Bios), otro punto que difiere con los anteriores conceptos que venamos revisando sobre Rootkit es que este tipo de amenaza no necesita Modificar el sector de Arranque (MBR). Rutkowska ha creado una tecnologa segn afirma indetectable, aunque se conozca su cdigo/algoritmo, estas amenazas tambin pueden funcionar en sistemas de 64 bits. Ha visto la pelcula Matrix[33] , dnde uno de los actores ofrece una pldora azul o roja al protagonista?, Rutkowska ha querido darle un toque cinfilo a su creacin con estas palabras: La idea detrs de Blue Pill es simple: tu sistema operativo se traga la pldora azul y despierta dentro de una Matrix controlada por el Monitor de Blue Pill, todo ocurre sin reiniciar el sistema, como si nada hubiera pasado y todos los dispositivos, son totalmente accesibles desde el sistema operativo que ahora se ejecuta en mquina virtual [29]. En fin, no se debe restar atencin a este concepto.

Para terminar y Hablando un poco sobre las tendencias hacia el desarrollo de nuevos malware con funcionalidades Rootkit, solo resta ver con desanimo, la facilidad con que se distribuyen los diferentes Frameworks para la manufactura de estas aplicaciones maliciosas, ya sea, que se quiera comprar las herramientas pertinentes a su programacin o comprar las Botnets hechas en base a su utilizacin. La complejidad que presenta cada nueva aparicin va en aumento, basta mirar lo que nos est dejando 2012 con el anuncio de Flame [37], un nuevo malware

Rootkit: El enemigo furtivo 15

para Ciber-espionaje que adems de infectarse por medio de LAN y USB, tambin puede hacerlo a travs de Bluetooth, y por medio de tecnologa inalmbrica, robar informacin de dispositivos cercanos evitando su deteccin, tiene el extra de poder desaparecer por completo de los equipos infectados si as lo desea. Muchos consideran ya, que ha superado con creces la paranoia creada por Stuxnet o Duqu, y su evolucin est siendo seguida ferozmente por la industria de la seguridad. Ya que tocamos el mundo inalmbrico, hablemos del BOOM de los telfonos inteligentes y su infeccin con Rootkits [34]. Dado el xito de los mviles, era de esperarse que ya se estn probando los conceptos donde se logra la infeccin a nivel de kernel en el Smartphone, con diversos fines, como leer todos los SMS, cargar llamadas de larga distancia al dueo del aparato, saber su ubicacin GPS, etc. As de increble y terrorfico es el panorama, y Hay tantos tipos de estas amenazas, que este documento claramente se ha quedado corto para mencionarlas todas, dejando muchas lneas en el tintero, Por otro lado, las sucias formas de lucro son en igual nmero variadas, dando nacimiento a muchos otros conceptos ya fuera del alcance de nuestro estudio, pero con una estrecha relacin, como el tema de las Botnets, o la creacin de grupos de Cybercrimen como Dogma Millions [35] con alcances mundiales. De este punto solo podemos mirar el Horizonte futuro con incertidumbre y preguntarnos: Qu es lo que sigue?, si tenemos la suficiente astucia para verlo venir, tal vez logremos estar un paso adelante y ganar la batalla.

Rootkit: El enemigo furtivo 16

Conclusin: Luego de haber analizado los conceptos pertinentes al malware asistido por tecnologas Rootkit, podemos disertar varias deducciones: Los efectos de este tipo de amenazas claramente sobrepasan las jurisdicciones de la ley, no hay fronteras geogrficas, pueden dar inicio a Botnets y Ciber-mafias Internacionales constituyendo un problema global, y no es uno, o dos o tres pases los encargados de afrontar y castigar a los responsables, si no, todos juntos. El nivel de automatizacin que han ganado la amenazas informticas es tal, que no se requieren altos conocimientos para su operacin, el manejo de las Botnets construidas en base a TDL-4 refleja muy bien lo expuesto. El fcil acceso, tanto econmico como tcnico, a las herramientas de desarrollo de estas amenazas ha disparado desmesuradamente el nmero de personas que se dedican a esta prctica. Dado que los delitos electrnicos trascienden fronteras y su efecto no se limita dentro de una sola zona geogrfica, debe proponerse la integracin de las leyes internacionales y organizaciones para aplicar castigos igualmente severos en todas las zonas involucradas por el crimen informtico, esto, para remediar el hecho de que en algunas naciones (mayoritariamente aquellas en vas de desarrollo) los ciber-crimenes ni siquiera se encuentran penados, esto ltimo tambin atae pases de Latinoamrica[36]. Tomando como referencia el alto crecimiento del nmero de usuarios de internet, es imperativo proponer a los sistemas de Educacin de cada regin en particular la implementacin de programas de instruccin a la poblacin Estudiantil, informando la alta peligrosidad de temas como el Rootkit y las diversas formas en las que el malware puede atacar. Se debe tenerse en cuenta todos los procedimientos sealados en el presente documento para minimizar en gran medida, los riesgos de infeccin de este tipo de amenazas (anti-malwares y sistemas operativos actualizados, firewalls, escaneos de rutina, etc.) Dado que el malware, como en el caso de los Boot-Rootkits, presenta formas de ataque cada vez ms complejas y a bajo nivel, la industria de la seguridad deber apostar sin titubear por maniobras cada vez ms audaces. Quien sabe, quizs en el futuro, lo ltimo que debamos cargar al encender nuestro ordenador sea el sistema operativo, dando el primer lugar y prioridad mxima a nuestras herramientas de seguridad. Puede verse el impacto que las tecnologas Rootkit y el malware tienen en la sociedad, en la poltica, etc., viendo con preocupacin casos como Stuxnet o Flame, y la peligrosidad que estos pueden alcanzar en el sabotaje de los procesos industriales.

Por ltimo solo se hace una reflexin sobre el increble intelecto de los escritores de malware, desperdiciado totalmente en este campo, cuando toda esa capacidad pudiera usarse en beneficio de la humanidad. Queda en nosotros hacer conciencia en las nuevas generaciones, enmendar los tropiezos mostrndoles el verdadero camino, y guardar la noble esperanza de un futuro mejor...

Rootkit: El enemigo furtivo 17

Referencias
1. http://es.wikipedia.org/wiki/(c)Brain 2. http://en.wikipedia.org/wiki/Rootkit#History

3. Evolucin de los Rootkits, Alisa Shevchenko, Kasperski Labs (http://www.viruslist.com/sp/analysis?pubid=207270997%20--%3E) A real NT Rootkit, patching the NT kernel, Greg Hoglund, Phrack Magazine 4. http://www.phrack.org/issues.html?issue=55&id=5 Advanced Mac Os X Rootkits, Dino Dai Zovi, EndGameSystems 5. http://www.blackhat.com/presentations/bh-usa-09/Daizovi-AdvOSXRootkitsSLIDES.pdf Siemens: Stuxnet worm Hit Industrial Systems, Robert Mcmillan 6.http://www.computerworld.com/s/article/print/9185419/Siemens_Stuxnet_worm_hit _industrial_systems?taxonomyName=Network+Security&taxonomyId=142 Sony music CDs Under fire from privacy Advocates 7. http://npr.org/templates/story/story.php?storyId=4989260 Rootkits revelados, David Harley y Andrew Lee, Laboratorio ESET 8. http://www.eset-la.com/centro-amenazas/articulo/la-raiz-todos-los-males-rootkitsrevelados/1520 Stuxtnet WhitePaper Updated, Andrew Ginter 9. http://blog.industrialdefender.com/?p=516 10. http://www.automatas.org/siemens/wincc.htm Rootkits revelados, David Harley y Andrew Lee 11. http://www.vsantivirus.com/rootkits-revelados.htm 12. http://www.eset-la.com/centro-amenazas/amenazas/Botnets/2235 13. http://es.wikipedia.org/wiki/Rootkit 14. http://www.eset.eu/encyclopaedia/mebroot_backdoor_sinowal_trojan_mebroot_stealt h_mbr_trojan_backdoor_maosboot 15. http://www.eset-la.com/centro-amenazas/articulo/drive-by-download-infeccionweb/1792 16. White Paper: Symantec Security Response, Windows Rootkit Overview http://www.google.com.gt/url?sa=t&rct=j&q=api%20con%20rootkit&source=web&cd= 2&ved=0CFYQFjAB&url=https%3A%2F%2Fwww.symantec.com%2Favcenter%2Fref erence%2Fwindows.rootkit.overview.pdf&ei=w2bXT4z3GYb28gTtg9HZAw&usg=AF QjCNFhuRFnlXfrj2hqBpYctFHSo5XV4g 17. http://www.securelist.com/en/analysis/204792131/TDSS 18. http://www.viruslist.com/sp/images/vlill/golovanov_tdss_pic04_ru.png 19. http://blogs.eset-la.com/laboratorio/2011/07/01/nueva-generacion-de-botnetstdl4-tdss/

Rootkit: El enemigo furtivo 18

20. Malware Evolution, Alexander Gostev http://www.securelist.com/en/analysis/204791966/Malware_evolution_January_July_ 2007 21. http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q2-2011.pdf 22. http://www.pandasecurity.com/spain/enterprise/security-info/typesmalware/rootkit/ Heurstica Antivirus: Deteccin Proactiva de Malware, Sebastin Bortnik, ESET Latinoamrica. 23. http://www.esetla.com/pdf/prensa/informe/heuristica_antivirus_deteccion_proactiva_malware.pdf 24. http://blogs.eset-la.com/corporativo/2012/05/29/conozca-acerca-tecnologiathreatsense-eset/ 25. http://es.wikipedia.org/wiki/Falso_positivo 26. http://www.av-comparatives.org/ 27. http://www.av-test.org/index.php?L=1 28. http://www.virusbtn.com/index Introducing Blue Pill, Joanna Rutkowska 29. http://theinvisiblethings.blogspot.com/2006/06/introducing-blue-pill.html Tecnologa AMD Virtualizacin 30. http://sites.amd.com/es/business/it-solutions/virtualization/Pages/amd-v.aspx Virtualizacin Mas segura y Eficiente, Intel 31. http://www.intel.la/content/www/xl/es/virtualization/intel-virtualization-transformsit.html Challenge Blue Pill 32. http://www.virusbtn.com/news/2007/07_01a_JULY_ISSUE_virus.xml 33. http://es.wikipedia.org/wiki/The_Matrix This is not the Droid Youre Looking for, Trustwave. 34. https://www.trustwave.com/downloads/spiderlabs/Trustwave-SpiderLabsDEFCON-This-is-not-the-droid-youre-looking-for.pdf TDL3: The Rootkit of All Evil? Aleksandr Matrosov, Eugene Rodionov, ESET 35. http://go.eset.com/us/resources/white-papers/TDL3-Analysis.pdf Cibercriminales en Brasil Presumen sus robos, Sergio Lpez, Bsecure. 36. http://www.bsecure.com.mx/featured/fraudes-bancarios-en-brasil-el-escenarioque-nadie-desea-compartir/ 37. Flame: Bunny, Frog, Munch and BeetleJuice, Aleks, Kaspersky Lab http://www.securelist.com/en/blog/208193538/Flame_Bunny_Frog_Munch_and_Beet leJuice Portada: Dibujo del autor de la presente investigacin con efecto Boceto de tiza.

Rootkit: El enemigo furtivo 19

S-ar putea să vă placă și