12
ROOTKIT AND BOTNET CARLOS ANDRES AMAYA RODRIGUEZ SANDRA MILENA SAJONERO DAVID WILLIAM CASTRO Ingeniero BASE DE DATOS II GRUPO: 02 UNIVERSIDAD POPULAR DEL CESAR (UPC) INGENIERIA DE SISTEMAS 2015-1

Rootkit and Botnet

Embed Size (px)

DESCRIPTION

Trabajo de rootkit y Botnet

Citation preview

ROOTKIT AND BOTNET

CARLOS ANDRES AMAYA RODRIGUEZ

SANDRA MILENA SAJONERO DAVID

WILLIAM CASTRO

Ingeniero

BASE DE DATOS II

GRUPO: 02

UNIVERSIDAD POPULAR DEL CESAR (UPC)

INGENIERIA DE SISTEMAS

2015-1

TABLA DE CONTENIDO

Pág.

INTRODUCCIÓN .................................................................................................... 3

1. ROOTKIT .......................................................................................................... 4

1.1. FUNCIÓN PRINCIPAL DE UN ROOTKIT ...................................................................................... 4

1.2. ESPACIOS DE EJECUCIÓN DE UN ROOTKIT ............................................................................... 4

1.2.1. ROOTKIT EN ESPACIO DE USUARIO .................................................................................. 4

1.2.2. ROOTKIT EN ESPACIO DEL KERNEL ................................................................................... 5

2. BOTNETS O REDES DE ZOMBIS ................................................................... 6

2.1. FORMACIÓN DE UNA BOTNET Y FUNCIONAMIENTO .............................................................. 7

3. RECOMENDACIONES PARA PREVENIR LA INFECCIÓN DE ROOTKIT Y

BOTNET ................................................................................................................ 10

CONCLUSIONES .................................................................................................. 11

REFERENCIAS ..................................................................................................... 12

INTRODUCCIÓN

La Internet es quizás la herramienta tecnológica más popular a nivel mundial en la

actualidad, es importante no solo en el ámbito comercial, sino en la educación, así como, en

muchos otros aspectos de la vida cotidiana de las personas, es aquí donde, cobran fuerzas las

amenazas cibernéticas como los malwares, surgiendo todo un linaje de software maliciosos,

como lo son los Rootkits y los Botnets con objetivos y funcionamiento diferentes.

Rootkit y Botnet son los conceptos claves para comprender esta temática, así como las

funciones que acompañan a estas amenazas informáticas que son capaces de ocultar procesos

de las actividades de espionaje ocurridas en su ordenador.

1. ROOTKIT

Originalmente el término RootKit proviene de los sistemas Unix y hacía referencia a

pequeñas utilidades y herramientas que permitían acceso como "root" de esos sistemas. La

palabra ha evolucionado y hoy por hoy se consideran como un paquete de herramientas para

conseguir ilícitamente privilegios de administrador. Habitualmente se los utiliza para ocultar

procesos y programas que permiten acceso al sistema atacado, incluso tomar control de parte

del mismo.

1.1. FUNCIÓN PRINCIPAL DE UN ROOTKIT

La función principal de un rootkit es la de ocultar información: procesos, conexiones de red,

ficheros, directorios, elevación de privilegios, etc. Adicionalmente puede incorporar otras

funcionalidades como las de backdoor1 para proporcionar acceso permanente al sistema o las

de keylogger para interceptar las pulsaciones del teclado.

1.2. ESPACIOS DE EJECUCIÓN DE UN ROOTKIT

Un Rootkit aprovecha dos espacios de memoria de un sistema operativo típico: el espacio

de usuario y el espacio del kernel.

1.2.1. ROOTKIT EN ESPACIO DE USUARIO

Este es una variedad de rootkit que se ejecuta en el espacio de usuario al mismo nivel que

otras aplicaciones es por ello que se le conoce también como rootkit de aplicación. Este tipo de

rootkit habitualmente sustituye ejecutables legítimos del sistema por otros modificados, de

1 Backdoor: estos programas son diseñados para abrir una "puerta trasera" en nuestro sistema de modo tal de

permitir al creador del backdoor tener acceso al sistema y hacer lo que desee con él.

modo que la información que proporcionan esté manipulada según interese. Entre los

principales binarios objetivo de un rootkit para conseguir su ocultación y operación se

encuentran los siguientes:

Ficheros: ls, df, stat, du, find, lsof, lsatrr, chatrr, sync…

Conexiones: ip, route, neststat, lsof, nc, iptables, arp…

Procesos: ps, top, pidof, kill, lsof…

Tareas: crontab, at…

Logs: syslogd, rsyslogd…

Accesos: sshd, login, telnetd, inetd, passwd, last, lastlog,su, sudo, who, w, runlevel…

Un rootkit es capaz de reemplazar los archivos ejecutables legítimos con sus propias

versiones crackeadas conteniendo algún troyano (lo más típico), otra opción es modificar la

forma en la que las aplicaciones disponibles se comportan usando códigos inyectados, parches

y otras opciones. El Rootkit debe modificar cada uno de esos espacios para infiltrarse en cada

vista de la aplicación, para lograrlo debe modificar las DLL del sistema.

1.2.2. ROOTKIT EN ESPACIO DEL KERNEL

El objetivo principal del rootkit en este espacio es acceder al sistema y conseguir privilegios

de superusuario, de este modo asegurarse un control total del kernel del sistema. Una vez

integrado en el sistema, su detección es mucho más complicada, pues se mueven en un nivel de

privilegio superior que les brinda permisos para poder modificar, ya no solo los binarios en sí,

sino las propias funciones y llamadas del sistema operativo.

Por ello, su diseño debe ser mucho más sofisticado, puesto que al trabajar en espacio de

kernel e interaccionar con funciones y llamadas del sistema básicas, cualquier defecto en su

funcionamiento puede provocar un fallo en el núcleo con consecuencias fatales, es natural que,

este Rootkit sea considerado más peligroso que la versión de usuario, puesto que, su detección

resulta ser casi imposible.

2. BOTNETS O REDES DE ZOMBIS

Un bot proveniente del término “robot” es un código malicioso que se instala en el sistema

normalmente a través de una vulnerabilidad del equipo o usando técnicas de ingeniería social

como por ejemplo, una identidad falsa. Un equipo infectado por un bot pasa a estar dentro de la

botnet o red de zombis, que no es otra cosa que una red de ordenadores controlados de modo

remoto por un hacker, normalmente a través de canales de Chat IRC2 sin que el usuario se

percate de este hecho. Cada uno de los ordenadores de esta red funciona con aparente

normalidad para cada uno de sus usuarios.

2 IRC (Internet Relay Chat) es un protocolo de comunicación en tiempo real basado en texto, que permite debates

entre dos o más personas

Ilustración 1: Esquema de infección y envío de correo basura de una botnet

Fuente: Hispasec

2.1. FORMACIÓN DE UNA BOTNET Y FUNCIONAMIENTO

Aunque los métodos de creación y desarrollo del funcionamiento de una botnet son muy

variados, se identifican una serie de etapas comunes en la vida útil de este tipo de redes:

1. El creador de la botnet diseña la red que va a crear, definiendo los objetivos y los medios

necesarios que va a emplear, incluido el sistema de control de la red.

2. Además necesitará un malware que se aloje en los equipos y permita el control del

mismo, denominado bot, que frecuentemente es un troyano. Este malware puede ser

creado por él mismo (el creador de la red) o puede comprar este bot a un creador de

malware.

3. El siguiente paso consiste en distribuir el malware o bot por cualquier método: correo

basura, páginas con vulnerabilidades, ingeniería social, etc. El objetivo final es que las

víctimas ejecuten el programa y se infecten. En la mayoría de las ocasiones el propio

troyano se propaga por sí mismo, y es capaz (como los gusanos tradicionales, pero

diseñados específicamente para formar parte de una red concreta una vez infectados) de

llegar a otros sistemas desde un sistema infectado a su vez. Si tiene éxito, el número de

zombis puede llegar a crecer exponencialmente.

4. Una vez que el atacante consigue una masa crítica suficiente de sistemas infectados,

puede conseguir el propósito buscado al programar el sistema. Algunas de estas

actuaciones pueden ser:

Robar información de los equipos infectados.

Enviar correo basura o spam.

Realizar ataques combinados a una página web o ataques de denegación de servicio

distribuido.

Construir servidores web para alojar material ilícito (pornográfico y/o pedofílico),

realizar ataques de fraude online (phishing), alojar software malicioso.

Distribuir o instalar nuevo malware.

Crear nuevas redes de equipos zombis.

Manipular juegos online.

Observar lo que la víctima hace si el programa ofrece la posibilidad de visionado de

escritorio remoto.

5. El creador de la botnet puede explotarla de diversas formas:

Utilizar la red directamente en su beneficio.

Alquilarla a terceros, de tal forma que el cliente recibe los servicios y el creador

controla la red.

Vender entornos de control, es decir, el creador vende el programa de control de

zombis al cliente, para que este último lo explote.

6. La botnet permanecerá activa mientras se produzca la actualización del bot para

dificultar su detección, añadir alguna funcionalidad o alguna otra mejora. El declive de

la misma puede provocarse con la resolución de vulnerabilidades de sistemas operativos

y aplicaciones tras la publicación por parte de los fabricantes de las actualizaciones, la

mejora en el control de las redes, utilización de antivirus y antiespías, etc.

Ilustración 2: Esquema de Actualización de Infección de una Botnet

Fuente: Hispasec

3. RECOMENDACIONES PARA PREVENIR LA INFECCIÓN DE ROOTKIT Y

BOTNET

En general es sencillo prevenir y defenderse de este tipo de amenazas. Hoy en día los

fabricantes de sistemas de seguridad informática tratan de dar solución a estos problemas lo más

rápidamente posible, actualizando de manera continua las versiones de su software para dar

respuesta al creciente número de situaciones de este tipo.

Sin embargo, el Observatorio de la Seguridad de la Información de INTECO ha constatado

que las recomendaciones de instalar y tener actualizados antivirus, antispyware y cortafuegos,

no son siempre suficientes, siendo clave la concienciación por parte del usuario final ante este

tipo de amenazas. Consciente de que la difusión de la cultura de la seguridad de la información

entre los usuarios, es el mejor medio para contribuir a esta concienciación, ofrece las siguientes

recomendaciones adicionales:

Instalar sólo software proveniente de fuentes fiables.

Tener actualizado el software del sistema operativo con los últimos parches de

seguridad.

Desconfiar del correo electrónico de origen desconocido y nunca abrir archivos

ejecutables dentro de dichos correos.

Evitar la instalación de programas distribuidos ilegalmente, ya que resultan una

fuente más probable de infección.

CONCLUSIONES

Como resultado de la investigación referente a los conceptos de “Rootkit y Botnets” se

puede concluir que: los rootkits son herramientas que sirven para esconder los procesos y

archivos que permiten al intruso mantener un acceso al sistema, a menudo con fines maliciosos,

moviéndose en espacios de memoria tales como las de aplicación y las del kernel.

Así mismo, los botnets son códigos maliciosos que pueden controlar todos los

computadores y/o servidores infectados de forma remota usándolos en diferentes acciones

delictivas.

Es importante conocer las diversas amenazas que existen en el mundo cibernético, como

punto de partida para colaborar en la prevención y eliminación de estas.

REFERENCIAS

Hernández, B. (2012). Caracteristicas y funcionamiento del malware “rootkit: el enemigo

furtivo”. Obtenido de Universidad Mariano Gálvez De Guatemala: http://premios.eset-

la.com/universitario/images/Premio_Universitario_2012/Bernardo_Hernandez_PUE_2

012.pdf

Inteco. (s.f.). Amenazas silenciosas en la Red: rootkits y botnets . Obtenido de Incibe, Instituto

de Tecnologías de la Información :

https://www.incibe.es/file/o958020emUS5f1Ez5MwRMA

Inteco. (s.f.). Botnets ¿qué es una red de ordenadores zombis? España. Obtenido de

https://observatorio.iti.upv.es/resources/report/624

Lopez, A. (s.f.). Malware en Linux: Rootkits, introducción y clasificación. Obtenido de Incibe,

Instituto Nacional de Ciberseguridad:

https://www.incibe.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_comentarios/m

alware_linux

Noticia. (s.f.). "E-commerce" es en español "cibercomercio". Obtenido de Dinero:

http://www.dinero.com/actualidad/noticias/articulo/e-commerce-espanol-

cibercomercio/112175