Daboweb

Rootkits

Localizando rootkits (puertas traseras) en GNU/Linux, Unix o BSD con rkhunter

Posted by Dabo on diciembre 07, 2008
Programas

Desde hace unos años, rkhunter se ha convertido para mi en una herramienta imprescindible, puedes usarlo en un servidor web o en tu ordenador personal como una forma más de  asegurarlo. A continuación, os daré algunos detalles sobre sus funciones o uso.

Esta ligera y potente aplicación con licencia GPL, está ideada para detectar puertas traseras en tu sistema o alertar de actividades sospechosas en el mismo.

Se puede lanzar también al programador de tareas (Cron) para que realice una comprobación diaria de la integridad del sistema, además, puede configurarse para que te envíe un mail con el resultado del scan.

Realiza entre otras las siguientes operaciones (consulta la ayuda);

Análisis del disco duro en busca de los rootkits más comunes.

Comparaciones de hashes MD5.

Busca ficheros que son usados habitualmente por rootkits.

Realiza un análisis de ficheros binarios y los que se hayan movidos de su lugar habitual.

Busca cadenas sospechosas en módulos como LKM y KLD.

Módulos de Apache así como su configuración.

Interfaces funcionando en modo promiscuo (posibles sniffers).

Aplicaciones a la “escucha” que usen la librería libcap.

Ficheros que hayan sido borrados recientemente y los ocultos.

Llo más normal es ejecutar un rkhunter -c (check all, análisis completo) pero recordad ejecutar un rkhunter –update al menos semanal para que actualice las firmas de malware y toda su base de datos de detección para estar al día con todas las amenazas que van surgiendo.

Para su correcto funcionamiento, requiere un Shell Bash o Korn y algunos módulos de Perl que encontrarás en la mayoría de las distribuciones seguramente ya instalados.

Rkhunter está disponible para entornos GNU/Linux, Unix, BSD o Solaris.

De todos modos hay que ser un tanto paciente con las alertas que devuelve una vez finalizado el análisis ya que en ocasiones puede dar algún “falso positivo” y hacer sonar la voz de alarma, os recomiendo documentaros bien y buscar información al respecto antes de eliminar cualquier fichero sospechoso.

Para instalarlo, además de poder bajar el código fuente y compilarlo, la forma más sencilla es vía apt-get install rkhunter.

Os recomiendo también ChkRootkit que viene a realizar unas funciones parecidas con mucha efectividad.

Sitio web de Rkhunter | | En SourceForge | En Freshmeat |

Por David Hernández (Dabo).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Tags: , , , , , , , , ,

Responsable del último Rootkit de Sony vuelve a la carga, ahora en software EISA (WTF)

Posted by Dabo on noviembre 29, 2008
Seguridad Informática

No se ha revelado el nombre del protagonista del post (es un desarrollador Chino) ni tampoco el nombre del programa creado por el mismo autor, que  según Trend Micro (ENG), es susceptible de ser afectado por un Rootkit.

La cuestión es más preocupante si hablamos de un software que estaría destinado para gestionar la Arquitectura de Seguridad de Información en la Empresa (EISA + info en Wikipedia), de ahí el “WTF” (What The Fuck) o un “Hay que joderse” con la mala suerte o malas prácticas programando de este desarrollador.

Pero si además añadimos el hecho de que este “gafado” personaje es el responsable del segundo rootkit conocido de Sony (¿os acordáis? (ENG) el llavero USB MicroVault USM-F para leer huellas dactilares) el asunto cobra otra dimensión…Este programa se ejecuta en sistemas Windows y se habla de varios procesos ejcutándose que no son visibles por el usuario (winpop.exe, xhound.exe y xtsr.exe) y de un directorio donde se almacenan los registros que  también permanece oculto (C: \ XLog,) que puede ser una vía de futuros ataques por parte del mismo malware que se intenta evitar…

Trend Micro lo ha etiquetado
como HKTL_BRUDEVIC dentro de la categoría “Hacking tools” y se ha puesto en contacto con los responsables del producto para que solventen el bug lo antes posible y alguno se pregunta ¿En que proyectos más habrá intervenido nuestro “gafado” protagonista?

Vía | The Security Eunoia

Por David Hernández (Dabo)

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Tags: , , , , ,

Todo sobre los Rootkits

Posted by Dabo on noviembre 25, 2006
Seguridad Informática
Un interesante artículo desde vsantivirus.com en el que se expone todo lo que se necesita saber acerca de los Rootkits (Grupo de herramientas informáticas maliciosas, que permiten que un intruso, que logró acceder y permanecer en el sistema, oculte esta situación.) Recomendamos su lectura.

Continue reading…

Tags: , ,