Info
Páginas: 5 (1094 palabras)
Publicado: 11 de noviembre de 2012
Trabajo Practico Seguridad Informática
ROOTKITS
Contenido:
1. Definición
2. Objetivo
3. Modo de funcionamiento
4. Tipos de rootkits
5. ¿Cómo prevenirnos?
Alumnos: Luis Tejerina, Santiago Valenzuela, Facundo Duarte, Alan Contrufo.
Profesor: Diego Mongioi.
Curso: 6º5º
1.- Definición:
Un rootkit es un programa que permite un acceso de privilegio continuo auna computadora pero que mantiene su presencia activamente oculta al control de los administradores al corromper el funcionamiento normal del sistema operativo o de otras aplicaciones.
En otras palabras, usualmente se lo asocia con malware, que se esconde a sí mismo y a otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten al intruso mantener el acceso alS.O. para remotamente comandar acciones o extraer información sensible.
Típicamente, un atacante instala un rootkit en una computadora después de primero haber obtenido un acceso al nivel raíz, ya sea por haberse aprovechado de una vulnerabilidad conocida o por haber obtenido una contraseña (ya sea por crackeo de la encriptación o por ingeniería social). Una vez que el rootkit ha sido instalado,permite que el atacante disfrace la siguiente intrusión y mantenga el acceso privilegiado a la computadora por medio de rodeos a los mecanismos normales de autenticación y autorización.
Es importante remarcar que un Rootkit no es un Malware en sí mismo pero, debido a que es utilizado ampliamente para ocultar los mismos.
Actualmente, incluso son utilizados por ciertas empresas para controlarcomponentes del sistema y permitir o denegar su utilización. Hay que remarcar que el uso de estos programas es éticamente incorrecto (o incluso ilegal), ya que se hace sin la autorización expresa del usuario.
Imaginémonos el potencial que tiene una herramienta de este tipo, podemos tomar el control total de un sistema sin que el usuario se entere si quiera. Podemos tener guardados en un servidor alque hemos accedido mediante diferentes técnicas 50GB de archivos sin que el administrador se entere. El límite está donde esté el límite de la capacidad del atacante.
2.- Objetivo:
Tratan de encubrir a otros procesos que están llevando a cabo acciones maliciosas en el sistema. Por ejemplo, si en el sistema hay una puerta trasera para llevar a cabo tareas de espionaje (ya sea por la infecciónde un troyano, spyware u otro tipo de malware), el rootkit ocultará los puertos abiertos que delaten la comunicación; o si hay un sistema para enviar SPAM, ocultará la actividad del sistema de correo.
Los rootkits, al estar diseñados para pasar desapercibidos, no pueden ser detectados. Si un usuario intenta analizar el sistema para ver qué procesos están ejecutándose, el rootkit mostraráinformación falsa, mostrando todos los procesos excepto él mismo y los que está ocultando.
O si se intenta ver un listado de los ficheros de un sistema, el rootkit hará que se muestre esa información pero ocultando la existencia del propio fichero del rootkit y de los procesos que esconde.
Cuando el antivirus haga una llamada al sistema operativo para comprobar qué ficheros hay, o cuando intente averiguarqué procesos están en ejecución, el rootkit falseará los datos y el antivirus no podrá recibir la información correcta para llevar a cabo la desinfección del sistema.
Los rootkits se utilizan también para usar el sistema atacado como un medio de propagación, para lanzar ataques contra otros equipos. De este modo puede parecer que es el sistema infiltrado el que lanza los ataques y no el intrusoexterno. Este tipo de ataques podrían ser de denegación de servicio (DoS), ataques mediante IRC o mediante correo electrónico(SPAM).
3.- Modo de funcionamiento:
Un rootkit lo que hace es, esencialmente, modificar la forma en que el sistema operativo en sí funciona.
Esto lo logra por diferentes técnicas la mas conocida es la inyección DLL con API HOOKING pero básicamente su función es...
ROOTKITS
Contenido:
1. Definición
2. Objetivo
3. Modo de funcionamiento
4. Tipos de rootkits
5. ¿Cómo prevenirnos?
Alumnos: Luis Tejerina, Santiago Valenzuela, Facundo Duarte, Alan Contrufo.
Profesor: Diego Mongioi.
Curso: 6º5º
1.- Definición:
Un rootkit es un programa que permite un acceso de privilegio continuo auna computadora pero que mantiene su presencia activamente oculta al control de los administradores al corromper el funcionamiento normal del sistema operativo o de otras aplicaciones.
En otras palabras, usualmente se lo asocia con malware, que se esconde a sí mismo y a otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten al intruso mantener el acceso alS.O. para remotamente comandar acciones o extraer información sensible.
Típicamente, un atacante instala un rootkit en una computadora después de primero haber obtenido un acceso al nivel raíz, ya sea por haberse aprovechado de una vulnerabilidad conocida o por haber obtenido una contraseña (ya sea por crackeo de la encriptación o por ingeniería social). Una vez que el rootkit ha sido instalado,permite que el atacante disfrace la siguiente intrusión y mantenga el acceso privilegiado a la computadora por medio de rodeos a los mecanismos normales de autenticación y autorización.
Es importante remarcar que un Rootkit no es un Malware en sí mismo pero, debido a que es utilizado ampliamente para ocultar los mismos.
Actualmente, incluso son utilizados por ciertas empresas para controlarcomponentes del sistema y permitir o denegar su utilización. Hay que remarcar que el uso de estos programas es éticamente incorrecto (o incluso ilegal), ya que se hace sin la autorización expresa del usuario.
Imaginémonos el potencial que tiene una herramienta de este tipo, podemos tomar el control total de un sistema sin que el usuario se entere si quiera. Podemos tener guardados en un servidor alque hemos accedido mediante diferentes técnicas 50GB de archivos sin que el administrador se entere. El límite está donde esté el límite de la capacidad del atacante.
2.- Objetivo:
Tratan de encubrir a otros procesos que están llevando a cabo acciones maliciosas en el sistema. Por ejemplo, si en el sistema hay una puerta trasera para llevar a cabo tareas de espionaje (ya sea por la infecciónde un troyano, spyware u otro tipo de malware), el rootkit ocultará los puertos abiertos que delaten la comunicación; o si hay un sistema para enviar SPAM, ocultará la actividad del sistema de correo.
Los rootkits, al estar diseñados para pasar desapercibidos, no pueden ser detectados. Si un usuario intenta analizar el sistema para ver qué procesos están ejecutándose, el rootkit mostraráinformación falsa, mostrando todos los procesos excepto él mismo y los que está ocultando.
O si se intenta ver un listado de los ficheros de un sistema, el rootkit hará que se muestre esa información pero ocultando la existencia del propio fichero del rootkit y de los procesos que esconde.
Cuando el antivirus haga una llamada al sistema operativo para comprobar qué ficheros hay, o cuando intente averiguarqué procesos están en ejecución, el rootkit falseará los datos y el antivirus no podrá recibir la información correcta para llevar a cabo la desinfección del sistema.
Los rootkits se utilizan también para usar el sistema atacado como un medio de propagación, para lanzar ataques contra otros equipos. De este modo puede parecer que es el sistema infiltrado el que lanza los ataques y no el intrusoexterno. Este tipo de ataques podrían ser de denegación de servicio (DoS), ataques mediante IRC o mediante correo electrónico(SPAM).
3.- Modo de funcionamiento:
Un rootkit lo que hace es, esencialmente, modificar la forma en que el sistema operativo en sí funciona.
Esto lo logra por diferentes técnicas la mas conocida es la inyección DLL con API HOOKING pero básicamente su función es...
Leer documento completo
Regístrate para leer el documento completo.