Rootkit: Uma nova ameaça?
Desenvolvimento, evolução, formas de inserção, principais ataques entre outras características dos Rootkits são abordados no artigo referenciado. Trabalho acadêmico realizado sob orientação do prof. Marcelo Riedi - Unipar.
[ Hits: 52.154 ]
Por: cilmar em 14/02/2008
Aplicação dos Rootkits
Ataques desse porte causaram prejuízos imensos a diferentes corporações, além de tornarem domínios por vezes vistos como impenetráveis em alvos fáceis à Rootkits. Com base nestes fatos, não ouve outra forma a não ser conhecer o código do mesmo a ponto de saber a função de cada linha descrita no Rootkit.
Contudo, o que não se esperava é que empresas adotassem os Rootkits como meio de defesa, o que provocou imensa instabilidade no mercado de sistemas operacionais, já que o sistema não podia ser preparado para defender-se ou ao menos identificar um possível Malware. Pior ainda era não saber descrever se o software poderia ser considerado um Malware, haja vista que, nesse caso, o Rootkit poderia ate ser benéfico.
Não foi o caso do Rootkit produzido pela multinacional Sony BMG. A mesma objetivava produzir um código que impedisse a cópia pirata ou reprodução indevida dos seus CDs. O fato ficou conhecido internacionalmente e o que o levou a conquistar o nono lugar no site www.softwarelivreparana.org.br, que classifica os 10 maiores escândalos da Web:
O Dia das Bruxas de 2005 foi especialmente assustador para a Sony BMG Music. Na data, o técnico da Microsoft Mark Eussinovich colocou um post curioso em seu blog relatando que enquanto fazia uma varredura em seu HD, havia descoberto um rootkit - ferramenta utilizada por hackers para mascarar a presença de malware - advindo de um CD da gravadora.
O escândalo tornou-se uma bola de neve conforme outros blogueiros entravam na onda e a grande mídia explorava a história. Primeiro, a Sony negou que seu software de proteção anti-cópia havia transformado meio milhão de PCs em um parque de diversões para hackers. Depois, lançou uma "correção" que, obviamente, não funcionou. Por fim, cedeu à pressão publica e propôs aos usuários desinstalar o kit e substituir os CDs - mas era tarde e a reputação da empresa já estava tão mal ou pior do que os discos-rígidos dos usuários.
(Em: http://www.softwarelivreparana.org.br/modules/news/article.php?storyid=1491)
O problema de repercussão mundial por sua vez não inibiu a outras organizações, as quais dedicaram profissionais com total exclusividade para estudar os Rootkits, mais uma vez o estudo foi até sua implantação como meio de devesa, ocasionando opiniões diversas sobre o assunto, já que desta vez empresas voltadas a área de segurança estavam aderindo aos códigos considerados maliciosos:
O mesmo especialista de segurança que, durante o final do ano passado, trouxe a público o uso de rootkits pela gravadora Sony BMG em seus CDs de música critica agora as empresas de segurança Symantec e Kaspersky por produzirem softwares que utilizam a mesma técnica escusa.
Mark Russinovich, arquiteto chefe de softwares na Winternals, diz que os métodos empregados pelo Norton SystemWorks, da Symantec, e Kaspersky Antivírus são idênticos aos de rootkits, um termo usualmente reservado a técnicas utilizadas por softwares maliciosos para impedir a sua detecção em um computador infectado.
(Em: http://www.baboo.com.br/absolutenm/templates/content.asp?...)
Uma imagem negativa originou-se depois das ultimas noticiais, levantando duvidas sobre a verdadeira utilidade dos Rootkits e sobre seus criadores, por sua vez softwares com códigos totalmente analisados por programadores especializados na área de segurança da informação foram descritos como benéficos e classificados como seguros e Anti-Rootkit.
Criadores destes softwares foram incentivados a continuarem o trabalho levando posteriormente a área de segurança da informação a recuperar sua estabilidade. O ambiente Linux foi o primeiro a ser protegido. Neste caso, o software projetado foi o chkrootkit. Ele é implementado em ambientes Linux/Unix objetivando através das suas descrições sobre os comandos identificar pelas estruturas condicionais se o sistema esta ou não comprometido, o chkrootkit foi tão bem aceito que em pouco tempo uma Home Page foi construída e através dela muitos profissionais que utilizavam sistemas compatíveis puderam identificar a presença do Rootkit no kernel.
Sua construção se desencadeou por volta de 1997 a qual já dispunha de métodos de investigação forenses para investigação no kernel. Um exemplo a ser citado é a produção do script que avalia possíveis modificações no comando su, presente em todos os ambientes Linux/Unix:
(Em: http://www.chkrootkit.org/papers/chkrootkit-ssi2001.pdf)
O script, segundo a produtora do Anti-rootkit, é muito funcional, porém pode sofrer problemas com relações às distribuições que diferem umas das outras. Neste código teste de cadeias modificadas por Rootkits é realizado, a www.chkrootikit.org ainda explica sobre outros comandos que passam por verificação e auditoria, no entanto todos com o intuito de se identificar mudanças na função original e desta forma procurando-se identificar a presença de um possível malware. Ressalta-se ainda a criação de um repositório on-line com informações sobre Rootkits. Estes, serão usados pelo chkrootkit para melhorar ainda mais suas técnicas auditoras implantadas no kernel dos sistemas operacionais.
Atualmente, diversas empresas como Microsoft, Kaspersky, Symantec, McAfae entre outras, possuem mecanismos eficientes contra Rootkits, todavia isso não torna os Rootkits menos eficientes. Situações pertinentes a infiltrações dos Rootkits no kernel ainda são comuns, e algumas vezes elas por levarem o nome de Spyware, usuários pensam ser um simples vírus, isso contribui ainda mais para manifestações dos malwares, já que não há muita preocupação com relações a desktops.
Pesquisas avançadas sobre mecanismos de infecção de desktops estão sendo elaboradas:
A pesquisadora de segurança Joanna Rutkowska, conhecida por desfazer os mecanismos de segurança do Windows, promete demonstrar novas possibilidades de hackers invadirem o sistema operacional Windows Vista.
O treinamento promete demonstrar novos rootkits desenvolvidos para o Vista, além de debater sobre maneiras de derrubar sistemas e técnicas que a Microsoft provavelmente preferiria que o mundo não conhecesse.
(Em: http://idgnow.uol.com.br/seguranca/2007/04/30/idgnoticia.2007-04-30.1275130763/)
Outras declarações observadas no site apontam também para Rootkits modernos, os quais se utilizam de recursos muito avançados provenientes de técnicas associadas ao uso de memória combinado com hardware.
Contudo, o que não se esperava é que empresas adotassem os Rootkits como meio de defesa, o que provocou imensa instabilidade no mercado de sistemas operacionais, já que o sistema não podia ser preparado para defender-se ou ao menos identificar um possível Malware. Pior ainda era não saber descrever se o software poderia ser considerado um Malware, haja vista que, nesse caso, o Rootkit poderia ate ser benéfico.
Não foi o caso do Rootkit produzido pela multinacional Sony BMG. A mesma objetivava produzir um código que impedisse a cópia pirata ou reprodução indevida dos seus CDs. O fato ficou conhecido internacionalmente e o que o levou a conquistar o nono lugar no site www.softwarelivreparana.org.br, que classifica os 10 maiores escândalos da Web:
O Dia das Bruxas de 2005 foi especialmente assustador para a Sony BMG Music. Na data, o técnico da Microsoft Mark Eussinovich colocou um post curioso em seu blog relatando que enquanto fazia uma varredura em seu HD, havia descoberto um rootkit - ferramenta utilizada por hackers para mascarar a presença de malware - advindo de um CD da gravadora.
O escândalo tornou-se uma bola de neve conforme outros blogueiros entravam na onda e a grande mídia explorava a história. Primeiro, a Sony negou que seu software de proteção anti-cópia havia transformado meio milhão de PCs em um parque de diversões para hackers. Depois, lançou uma "correção" que, obviamente, não funcionou. Por fim, cedeu à pressão publica e propôs aos usuários desinstalar o kit e substituir os CDs - mas era tarde e a reputação da empresa já estava tão mal ou pior do que os discos-rígidos dos usuários.
(Em: http://www.softwarelivreparana.org.br/modules/news/article.php?storyid=1491)
O problema de repercussão mundial por sua vez não inibiu a outras organizações, as quais dedicaram profissionais com total exclusividade para estudar os Rootkits, mais uma vez o estudo foi até sua implantação como meio de devesa, ocasionando opiniões diversas sobre o assunto, já que desta vez empresas voltadas a área de segurança estavam aderindo aos códigos considerados maliciosos:
O mesmo especialista de segurança que, durante o final do ano passado, trouxe a público o uso de rootkits pela gravadora Sony BMG em seus CDs de música critica agora as empresas de segurança Symantec e Kaspersky por produzirem softwares que utilizam a mesma técnica escusa.
Mark Russinovich, arquiteto chefe de softwares na Winternals, diz que os métodos empregados pelo Norton SystemWorks, da Symantec, e Kaspersky Antivírus são idênticos aos de rootkits, um termo usualmente reservado a técnicas utilizadas por softwares maliciosos para impedir a sua detecção em um computador infectado.
(Em: http://www.baboo.com.br/absolutenm/templates/content.asp?...)
Uma imagem negativa originou-se depois das ultimas noticiais, levantando duvidas sobre a verdadeira utilidade dos Rootkits e sobre seus criadores, por sua vez softwares com códigos totalmente analisados por programadores especializados na área de segurança da informação foram descritos como benéficos e classificados como seguros e Anti-Rootkit.
Criadores destes softwares foram incentivados a continuarem o trabalho levando posteriormente a área de segurança da informação a recuperar sua estabilidade. O ambiente Linux foi o primeiro a ser protegido. Neste caso, o software projetado foi o chkrootkit. Ele é implementado em ambientes Linux/Unix objetivando através das suas descrições sobre os comandos identificar pelas estruturas condicionais se o sistema esta ou não comprometido, o chkrootkit foi tão bem aceito que em pouco tempo uma Home Page foi construída e através dela muitos profissionais que utilizavam sistemas compatíveis puderam identificar a presença do Rootkit no kernel.
Sua construção se desencadeou por volta de 1997 a qual já dispunha de métodos de investigação forenses para investigação no kernel. Um exemplo a ser citado é a produção do script que avalia possíveis modificações no comando su, presente em todos os ambientes Linux/Unix:
chk_su () {
STATUS=${NOT_INFECTED}
SU_INFECTED_LABEL="satori|vejeta"
CMD=`loc su su $pth`
if [ "${EXPERT}" = "t" ]; then
expertmode_output "${strings} -a ${CMD}"
return 5
fi
if ${strings} -a ${CMD} | ${egrep} \
"${SU_INFECTED_LABEL}" > /dev/null 2>&1
then
STATUS=${INFECTED}
fi
return ${STATUS}
}
STATUS=${NOT_INFECTED}
SU_INFECTED_LABEL="satori|vejeta"
CMD=`loc su su $pth`
if [ "${EXPERT}" = "t" ]; then
expertmode_output "${strings} -a ${CMD}"
return 5
fi
if ${strings} -a ${CMD} | ${egrep} \
"${SU_INFECTED_LABEL}" > /dev/null 2>&1
then
STATUS=${INFECTED}
fi
return ${STATUS}
}
(Em: http://www.chkrootkit.org/papers/chkrootkit-ssi2001.pdf)
O script, segundo a produtora do Anti-rootkit, é muito funcional, porém pode sofrer problemas com relações às distribuições que diferem umas das outras. Neste código teste de cadeias modificadas por Rootkits é realizado, a www.chkrootikit.org ainda explica sobre outros comandos que passam por verificação e auditoria, no entanto todos com o intuito de se identificar mudanças na função original e desta forma procurando-se identificar a presença de um possível malware. Ressalta-se ainda a criação de um repositório on-line com informações sobre Rootkits. Estes, serão usados pelo chkrootkit para melhorar ainda mais suas técnicas auditoras implantadas no kernel dos sistemas operacionais.
Atualmente, diversas empresas como Microsoft, Kaspersky, Symantec, McAfae entre outras, possuem mecanismos eficientes contra Rootkits, todavia isso não torna os Rootkits menos eficientes. Situações pertinentes a infiltrações dos Rootkits no kernel ainda são comuns, e algumas vezes elas por levarem o nome de Spyware, usuários pensam ser um simples vírus, isso contribui ainda mais para manifestações dos malwares, já que não há muita preocupação com relações a desktops.
Pesquisas avançadas sobre mecanismos de infecção de desktops estão sendo elaboradas:
A pesquisadora de segurança Joanna Rutkowska, conhecida por desfazer os mecanismos de segurança do Windows, promete demonstrar novas possibilidades de hackers invadirem o sistema operacional Windows Vista.
O treinamento promete demonstrar novos rootkits desenvolvidos para o Vista, além de debater sobre maneiras de derrubar sistemas e técnicas que a Microsoft provavelmente preferiria que o mundo não conhecesse.
(Em: http://idgnow.uol.com.br/seguranca/2007/04/30/idgnoticia.2007-04-30.1275130763/)
Outras declarações observadas no site apontam também para Rootkits modernos, os quais se utilizam de recursos muito avançados provenientes de técnicas associadas ao uso de memória combinado com hardware.
Páginas do artigo
1. Introdução2. Desenvolvimento ao longo da História (1)
3. Desenvolvimento ao longo da História (2)
4. Três gerações
5. Evolução e meios de inserção
6. Alvos dos Rootkits
7. Aplicação dos Rootkits
8. Conclusão
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada
Usuário especial para desligar servidores Linux
Analisando arquivos de registro (log)
Chkrootkit - Como determinar se o sistema está infectado com rootkit
Engenharia Social - Fios de telefone
Comentários
[1] Comentário enviado por kalib em 14/02/2008 - 12:18h
Parabéns pelo excelente artigo meu caro....
Uma ótima abordagem dinâmica e completa sobre rootkits...
Realmente são uma preocupação constante para nós que administramos redes e servidores...
Principalmente com a enorme quantidade de scriptkids a solta por aí não é mesmo?! dá raiva.. hauhauha
Obrigado pela ótima contribuição amigo. ;]
Parabéns pelo excelente artigo meu caro....
Uma ótima abordagem dinâmica e completa sobre rootkits...
Realmente são uma preocupação constante para nós que administramos redes e servidores...
Principalmente com a enorme quantidade de scriptkids a solta por aí não é mesmo?! dá raiva.. hauhauha
Obrigado pela ótima contribuição amigo. ;]
[2] Comentário enviado por marcosmiras em 14/02/2008 - 14:52h
Muito show... legal mesmo...
Realmente Kalib, uma grande preocupação mesmo...
Muito show... legal mesmo...
Realmente Kalib, uma grande preocupação mesmo...
[3] Comentário enviado por denis.roschel em 14/02/2008 - 15:19h
Depois de uma extensa leitura, só posso dizer, PARABÉNS!!!
Muito explicativo e didático!
Depois de uma extensa leitura, só posso dizer, PARABÉNS!!!
Muito explicativo e didático!
[5] Comentário enviado por alcarrolikis em 14/02/2008 - 17:44h
Ótimo artigo cilmar_oliveira.
Fazendo a diferença...
Vlw.
Ótimo artigo cilmar_oliveira.
Fazendo a diferença...
Vlw.
[7] Comentário enviado por juliocm em 16/02/2008 - 19:49h
olá Colega você fala que a máfia Russa foi o núcleo, mas posso lembrar que aqui n oBRASIL existem a maioria! Aki no Brasil estão presentes os desenvolvedores de rootkit e os usuários de rootkit, sabe!
Bem, se alguém quiser posso liberar meu CD completinho pra uso! mas não me responsabilizo do uso incorreto!
olá Colega você fala que a máfia Russa foi o núcleo, mas posso lembrar que aqui n oBRASIL existem a maioria! Aki no Brasil estão presentes os desenvolvedores de rootkit e os usuários de rootkit, sabe!
Bem, se alguém quiser posso liberar meu CD completinho pra uso! mas não me responsabilizo do uso incorreto!
[8] Comentário enviado por removido em 16/02/2008 - 20:55h
mukto bom esse esclarecimento, principalmente para mim que estou começando a entender de verdade o funcionamento de um SO...
valeu!!!
mukto bom esse esclarecimento, principalmente para mim que estou começando a entender de verdade o funcionamento de um SO...
valeu!!!
[9] Comentário enviado por Teixeira em 16/02/2008 - 21:31h
Gostei imensamente do artigo, bastante abrangente e direto.
Agora gostaria de perguntar:
1 - Qual a real possibilidade de conseguirmos essa espécie de malware em ambiente linux desktop?
2 - Há (também em desktop) a possibilidade de modificarmos o kernel sem ter que recompilá-lo?
Gostei imensamente do artigo, bastante abrangente e direto.
Agora gostaria de perguntar:
1 - Qual a real possibilidade de conseguirmos essa espécie de malware em ambiente linux desktop?
2 - Há (também em desktop) a possibilidade de modificarmos o kernel sem ter que recompilá-lo?
[10] Comentário enviado por nicolo em 17/02/2008 - 13:02h
Cara , isso é de arrepiar os cabelos. Os caras entraram nos sites de grandes distros e bancos e reduziram a segurança do Linux (do windows também) a pó.
Cara , isso é de arrepiar os cabelos. Os caras entraram nos sites de grandes distros e bancos e reduziram a segurança do Linux (do windows também) a pó.
[11] Comentário enviado por engos em 18/02/2008 - 13:30h
cilmar_oliveira:
Trabalho desenvolvendo uma das primeiras soluções no mundo de firewall para aplicações onde o conceito é justamente ajudar que alguns ataques, como os de sniffers reportados, sejam interceptados e tratados sem possibilitar "vazar" as informações, por isso tenho um conhecimento bem interessante sobre o assunto e segurança em geral e mesmo assim devo confessar que fiquei impressionado pela qualidade de seu trabalho, apesar de ser uma visão bem macro do assunto, você soube exatamente como conduzir o trabalho e fez uma pesquisa muito interessante, parabéns!
Teixeira:
1 - Existem vários bugs relatados diariamente com relação a programas, ou até mesmo com o kernel que podem ser facilmente explorados.
Alem disso existem malware que se utilizam de phishing scan, sql injection, crossover script.... E a lista vai longe, isso tudo sem contar os famosos DoS, fazendo o sistema operacional ser indiferente, bastando apenas saber como explorar cada sistema, o que é bem simples dependendo das informações que você tiver.
2 - Somente se você instalar um novo kernel já modificado... É até mais simples do que parece conseguir fazer isso sem deixar rastro algum, uma vez conectado ao sistema, mas o grande problema são os bugs encontrados no Kernel que permitem acesso total para quem sabe explorar as falhas já relatadas, por isso sempre se deve ter um kernel recente e quando se trata de um ambiente que necessita de um monte de homologações (como banco por exemplo) esse processo é lento e pode ficar exposta essa falha dependendo de como é a segurança como um todo.
Claro que isso é bem mais complicado o que torna o linux um sistema muito mais seguro do que uns sisteminhas que tem a "janela" aberta pra qualquer "ladrão" entrar...
nicolo:
Segurança é algo tão complicado que nem precisa "vir de fora", para você ter uma idéia como isso é complicado, fui comprar passagens da TAM nesse sabado a noite, para aproveitar as promoções noturnas, e quando encontrei os preços que queria fui efuar a compra, mas quando estava no processo acabou o horário de verão e de 24h passou para 23h, com isso o site da TAM simplesmente CAIU MAIS RAPIDO QUE OS AVIÕES DELES!
O pior, o erro não era tratado e dava um monte de informações sobre o sistema deles que com um pouquinho de má fé qualquer programador experiente poderia ter acesso a informações que não deveriam.
Infelizmente a política de desenvolvimento ainda é muito infantil com relação a segurança quando se trata principalmente de aplicações.
cilmar_oliveira:
Trabalho desenvolvendo uma das primeiras soluções no mundo de firewall para aplicações onde o conceito é justamente ajudar que alguns ataques, como os de sniffers reportados, sejam interceptados e tratados sem possibilitar "vazar" as informações, por isso tenho um conhecimento bem interessante sobre o assunto e segurança em geral e mesmo assim devo confessar que fiquei impressionado pela qualidade de seu trabalho, apesar de ser uma visão bem macro do assunto, você soube exatamente como conduzir o trabalho e fez uma pesquisa muito interessante, parabéns!
Teixeira:
1 - Existem vários bugs relatados diariamente com relação a programas, ou até mesmo com o kernel que podem ser facilmente explorados.
Alem disso existem malware que se utilizam de phishing scan, sql injection, crossover script.... E a lista vai longe, isso tudo sem contar os famosos DoS, fazendo o sistema operacional ser indiferente, bastando apenas saber como explorar cada sistema, o que é bem simples dependendo das informações que você tiver.
2 - Somente se você instalar um novo kernel já modificado... É até mais simples do que parece conseguir fazer isso sem deixar rastro algum, uma vez conectado ao sistema, mas o grande problema são os bugs encontrados no Kernel que permitem acesso total para quem sabe explorar as falhas já relatadas, por isso sempre se deve ter um kernel recente e quando se trata de um ambiente que necessita de um monte de homologações (como banco por exemplo) esse processo é lento e pode ficar exposta essa falha dependendo de como é a segurança como um todo.
Claro que isso é bem mais complicado o que torna o linux um sistema muito mais seguro do que uns sisteminhas que tem a "janela" aberta pra qualquer "ladrão" entrar...
nicolo:
Segurança é algo tão complicado que nem precisa "vir de fora", para você ter uma idéia como isso é complicado, fui comprar passagens da TAM nesse sabado a noite, para aproveitar as promoções noturnas, e quando encontrei os preços que queria fui efuar a compra, mas quando estava no processo acabou o horário de verão e de 24h passou para 23h, com isso o site da TAM simplesmente CAIU MAIS RAPIDO QUE OS AVIÕES DELES!
O pior, o erro não era tratado e dava um monte de informações sobre o sistema deles que com um pouquinho de má fé qualquer programador experiente poderia ter acesso a informações que não deveriam.
Infelizmente a política de desenvolvimento ainda é muito infantil com relação a segurança quando se trata principalmente de aplicações.
[12] Comentário enviado por Osirix em 24/10/2008 - 12:07h
Não tenho palavras .. pro seu artigo..^^
ele estar simplesmente otimo !!!!!!! ..
Não tenho palavras .. pro seu artigo..^^
ele estar simplesmente otimo !!!!!!! ..
[13] Comentário enviado por manhaes em 17/09/2009 - 01:24h
Excelente, de grande valia para profissionais em diversos setores, parabens!!!!!
Manhaes
Excelente, de grande valia para profissionais em diversos setores, parabens!!!!!
Manhaes
[14] Comentário enviado por albfneto em 18/06/2011 - 19:13h
o artigo é ótimo, um especialista no assunto.
o artigo é ótimo, um especialista no assunto.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Melhorando o tempo de boot do Fedora e outras distribuições
Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46
E a guerra contra bots continua
Tradução do artigo do filósofo Gottfried Wilhelm Leibniz sobre o sistema binário
Conheça o firewall OpenGFW, uma implementação do (Great Firewall of China).
Dicas
Instalando o FreeOffice no LMDE 6
Anki: Remover Tags de Estilo HTML de Todas as Cartas
Colocando uma opção de redimensionamento de imagem no menu de contexto do KDE
Tópicos
Não consigo acessar os modos de desempenho (2)
Ubuntu — tentando iniciar o windows? (0)
Top 10 do mês
-
Xerxes
1° lugar - 69.842 pts -
Fábio Berbert de Paula
2° lugar - 57.150 pts -
Clodoaldo Santos
3° lugar - 42.893 pts -
Supervisor dos Moderadores
4° lugar - 23.144 pts -
Sidnei Serra
5° lugar - 22.522 pts -
Daniel Lara Souza
6° lugar - 17.097 pts -
Mauricio Ferrari
7° lugar - 17.018 pts -
Alberto Federman Neto.
8° lugar - 17.036 pts -
Diego Mendes Rodrigues
9° lugar - 15.683 pts -
edps
10° lugar - 14.172 pts
Scripts
[Shell Script] Script para desinstalar pacotes desnecessários no OpenSuse
[Shell Script] Script para criar certificados de forma automatizada no OpenVpn
[Shell Script] Conversor de vídeo com opção de legenda
[C/C++] BRT - Bulk Renaming Tool
[Shell Script] Criação de Usuarios , Grupo e instalação do servidor de arquivos samba
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
