01110010011011110110111101110100011010110110100101 ......void hablar(Contenido) {si ( Contenido[0]...
Transcript of 01110010011011110110111101110100011010110110100101 ......void hablar(Contenido) {si ( Contenido[0]...
01110010011011110110111101110100011010110110100101110100
01110010011011110110111101110100011010110110100101110100
01110010011011110110111101110100011010110110100101110100
01110010011011110110111101110100011010110110100101110100
01110010011011110110111101110100011010110110100101110100
011100000111001001101111011001110111001001100001011011010110000101110011011010010111001101110100011001010110110101100001
01110010011011110110111101110100011010110110100101110100
01110010011011110110111101110100011010110110100101110100
01110010011011110110111101110100011010110110100101110100
01110010011011110110111101110100011010110110100101110100
01110010011011110110111101110100011010110110100101110100
01110010011011110110111101110100011010110110100101110100
01110010011011110110111101110100011010110110100101110100
01110010011011110110111101110100011010110110100101110100
include (presentacion.inc);
If (presentacion)
estado = “susto”;
if (estado && Conferencista)If (presentacion) {
version_presentacion(“1.0”);attribute:”Conferencista”,value:”Andrès Ricardo Almanza”;attribuite:”Contenido”, value: String(“
if (estado && Conferencista)comienza_presentacion();
comienza_presentacio() {
1. Introducción2. Definiciones
3. Rootkits4 Tipologías
{
for (i =1; i< Tiempo; i++) hablar(Contenido);
4. Tipologías5. Protección6. Retos7. Conclusiones
if (presentacion != “Buena”)exit(0);
if (preguntas == “Dificil”)it(0)8. Referencias“)
exit(0);}
# Comienza presentación
exit(0);else
contestar; return(0);
}
# Comienza presentación
Tiempo= 3600;
}
void hablar(Contenido) {si ( Contenido[0] != “1. INTRODUCCION” ) exit(0); /** PANORAMA GENERAL **/l {
Aumentan considerablemente el malware por año.
else {slide() {
printtf(“%s”,” printf(“%g”,
pDos variables dentro de las premisas del nuevo
malware.Sofisticación, Epidemias
Se pasa de ataques entusiastas, a fraude colectivo.p q ,Se atacan todo lo que tenga un bit.
Dispositivos móviles, implantes subcutáneos,redes sociales.
Se ensanchan las brechas entre protección einfecciónSegún CSI. Las infecciones son mayores y generan
mayores perdidas a las organizaciones, y al común delas personas o usuarios de casa
[email protected] 3“); );
printf(“%g”, printf(“%g”,
[email protected] 4); ); return(0); }}}
void hablar(Contenido) {si ( Contenido[0] != “2. DEFINICIONES” ) exit(0); /** FAMILIAS HARDWARE X86 **/l {else {slide() {
printtf(“%s”,” printf(“%g”,
Las familias X86 poseen estructuras de anillos
Anillo 0: Mayores privilegios, utilización derecursos y privilegios de la máquina. Sinrestricciones al acceso de la memoria
Anillos 1, 2: Todo lo que necesita lamáquina para trabajar. Drivers
Anillo 3: Menores privilegios, donde seencuentran las aplicaciones Conencuentran las aplicaciones. Conrestricciones al acceso de la memoria
[email protected] 5“); );
/** SISTEMAS OPERATIVOS **/printf(“%f”,” printf(“%g”,
Elementos interconectados que
Se comunican a través de interfaces
Poseen un shell
S l ió h d
Aplicaciones Usuarios
Se relación con un hardware
Integración con muchos elementos
Sistema Operativo
Interfaces
Admon ProcesosAdmon Archivos
AdmonDispositivos
Admon Memoria
Admon ProcesosAdmon Archivos
SeguridadRedes
Shell
Interfaces
[email protected] 6“); );
Hardware
/** AMBIENTES *NIX **/printf(“%g”,”
LibreríasProgramas del
UsuarioNivel de USUARIO
Nivel del KERNEL Interfaces de llamados al sistema
Subsistema de Archivos
Buffer Cache
ComunicaciónInterprocesos
S b i
Nivel del KERNEL
Buffer Cache
Caracter Bloque
Controladores de dispositivosAdministrador
Memoria
SchedulerSubsistemaControl deProcesos
Control de Hardware
Hardware
Nivel del KERNEL
“);
Nivel del HARDWARE
/** AMBIENTES W* **/printf(“%g”,”
Procesosdel sistema
Servicios Aplicacionesde usuario
Subsistemasde Apoyo
Subsistema de DLL – NTDLL.DLL
Nivel de USUARIO
Nivel del KERNEL
Despachador de servicios del sistema
Kernel (llamado a interfases) Controlador de dispositivos
GráficasY Ventanas
Capa de abstracción del hardware
“);
Adaptado de: Russinovich y Salomon. 2009. Windows internals. Microsoft Press.
/** MALWARE y Ciclo de Vida de Un Ataque* **/printf(“%s”,” printf(“%g”,
Malware: Software malicioso.Termino utilizado para relacionartodos los tipos de ataques queexisten en la actualidadexisten en la actualidad.Características propias del Malware
Daño, destrucción,modificación, alteración,ocultación dentro de unocultación dentro de unsistema afectado.
Virus, Troyanos, Spyware,Worms, Dialers, Backdoors.D d l í d lDentro de las categorías delmalware.
“); ); return(0); }}}
void hablar(Contenido) {si ( Contenido[0] != “3. ROOTKIT” ) exit(0); /** QUE SON y QUE NO SON **/l {
Root: usuario con mayor privilegios en un sistema,
else {slide() {
printtf(“%s”,” printf(“%s”,
No son un virus, wormRoot: usuario con mayor privilegios en un sistema,originalmente de los mundos *NIX, administrador en el losmundo W.
Kit: Conjunto de herramientas.
Roorkit: “Conjunto de herramientas o programas que le
No son un virus, worm
Ellos mismo no buscan hacer daño dentro delsistema
No se utilizan como exploits para atacarmáquinasRoorkit: Conjunto de herramientas o programas que le
permiten tener acceso a la cuenta de mayor privilegios root. Conjunto de programas y código que permite permanecerde manera indetectable en un sistema “
Se utilizan en las fases post intrusion
máquinas
Se utilizan en las fases post intrusion
Existen en la mayoría de plataformas modernas. *nix, W*,MAC y demás.
Su característica principal es el modo “STEALTH”.
H i t d difí il d t ió difi il ióHerramientas de difícil detección, dificil remoción
[email protected] 10“); “);
/** SERVICIOS QUE OFRECEN, QUE AFECTAN **/printf(“%s”,” printf(“%g”,”
Sirven para:
Comando y Control: (C2).Manipular el sistema
Monitoreo:Monitoreo:
Invisibilidad: No dectectable.Afectan:
“); “);
void hablar(Contenido) {si ( Contenido[0] != “8. RETOS Y CONCLUSIONES” ) exit(0); else {slide() {slide() {
printtf(“%s”,”
Si bin no es una amenaza nueva, si muy peligrosa por lo que involucraNuestras medidas de proteccion pueden ser suceptibles ataques, Modelos de la memoriap p p q ,Es una herramienta complemento, no en si un ataque por lo tanto puede pensarse que no es necesaria sudeteccionTener ambientes como los Bootkits, o como los Rootkits en ambientes virtuales hacen ver que es unaamenaza que se transforma para afectar tendencias modernas de la tecnologia.q p gEl futuro de este tipo de amenazas no esta escrito, hoy se trabaja en buscar ser mas persintente enmatener un rootkit sin ser detectadoMecanimos fortalecidos de atenciòn de incidentes pueden ayudar en un post estudio de un analisis deeste tipo de amenazaspLa presencia de estas amenazas en todos los ambientes lo hace una herramienta muy poderosa a la quedebe prestarsele atenciòn.Sin decir que las herramientas no funcionen, es necesario ser cuidadoses con las herramientas que seutilizan, no todos los rootkits, son detectables por todas las herramientas, ejemplo de ello son los rootkitsde kernel.
void hablar(Contenido) {si ( Contenido[0] != “8. REFERENCIAS” ) exit(0); else {slide() {slide() {
printtf(“%s”,”
Levine, John G. et al. “A Methodology to Characterize Kernel Level Rootkits Exploitsthat Overwrite the System Call Table”. IEEE. 2004. <http://ieeexplore.ieee.org/iel5/9051/28706/01287894.pdf >Locally checks for signs of a rootkit. 01 Mar 2007. 28 Feb 2007. <http://www.chkrootkit.org/>Locally checks for signs of a rootkit. 01 Mar 2007. 28 Feb 2007. http://www.chkrootkit.org/Red-database-Security in the news/press. 23 Jan 2007. Red-Database-Security GmbH. 1 Mar 2007.
< http://www.red-database-security.com/wp/db_rootkits >Rootkit. 5 March 2007. Wikimedia Foundation Inc.26 Feb 2007.
<http://en.wikipedia.org/wiki/Rootkit>Rootkits how to combat them. 1996 - 2007. Kaspersky lab. 29 Feb 2007.
<http://www viruslist com><http://www.viruslist.com>What is a rootkit? . 2 Mar 2007.
<http://www.tech-faq.com/rootkit.shtml>Zaytsev, Oleg. Rootkits, Spyware/Adware, Keyloggers and Backdoors: Detection and Neutralization. A-List Publishing, Sep 1 2006.Beck, M et al. Linux Kernel Programming. 3rd ed. London: Addison Wesley, 2002. Cesare, Silvio. “Runtime Kernel Patching.” 03 Mar 2007.< http://www.uebi.net/silvio/runtime-kernel-kmem-patching.txt >Chuvakin Anton An Overview of Unix Rootkits iDefense Labs: Feb 2003 <Chuvakin, Anton. An Overview of Unix Rootkits. iDefense Labs: Feb 2003. <www.rootsecure.net/content/downloads/pdf/unix_rootkits_overview.pdf >Hoglund, Greg, Jamie Butler. Rootkits: Subverting the Windows Kernel. Addison Wesley Professional: Upper Saddle River, NJ, 22July 2005.King, Samuel T. et al. SubVirt: Implementing malware with virtual machines. Mar 01 2007. < www.eecs.umich.edu/virtual/papers/king06.pdf>K b t Al d “O l R tkit 2 0” Bl k H t 2006 USA L V NV 02 A 06 htt // d d t bKornbrust, Alexander. “Oracle Rootkits 2.0”. Black Hat 2006 USA, Las Vegas, NV. 02 Aug 06. < http://www.red-database-security.com/wp/oracle_rootkits_2.0.pdf >
/***BIBLIOGRAFIA ***/
Windows System Internals 4th Edition– D. Solomon, M. RussinovichWindows System Internals 4 Edition D. Solomon, M. RussinovichRootkits – G. Hoglund, J. ButlerPrimary Windows Rootkit Resource http://www.rootkit.comJoanna Rutkowska – Stealth Malware Detection http://www.invisiblethings.orgF-Secure Blacklight http://www.f-secure.com/blacklight/Sysinternals http://www.sysinternals.comRootkit Detectorhttp://www rootkitdetector com/Rootkit Detectorhttp://www.rootkitdetector.com/Hoglund, Greg and James Butler. Rootkits: Subverting the Windows Kernel. Stoughton, MA: Addison-Wesley, 2006Davis A. Michael, Bodmer M. Sean, LeMsters Aaron. Hacking Malware & Rootkit Exposed. McGrawHill. 2010Reberend Bill Blunded, The Rootkit Arsenal, Wordware. 2009“Sony, Rootkits and Digital Rights Management Gone Too Far”. Mark Russinovich.http://www.sysinternals.com/blog/2005/10/sony-rootkits-and-digital-rights.htmlRootkit en software comercial http://www microsoft com/technet/sysinternals/blog/2006/01/rootkits in commercial software htmlRootkit en software comercial .http://www.microsoft.com/technet/sysinternals/blog/2006/01/rootkits-in-commercial-software.htmlSymantec Admits Rootkit Usage in SystemWorks. http://www.realtechnews.com/posts/2478http://www.eweek.com/c/a/Security/Symantec-Caught-in-Norton-Rootkit-Flap/Rootkits, la raíz de todos los males. http://www.eset-la.com/threat-center/1520--la-raiz-todos-los-males-rootkits-reveladosAPI: Application Programming Interface. http://es.wikipedia.org/wiki/Application_Programming_InterfaceAPI Hooking Revealed. http://www.codeguru.com/Cpp/W-P/system/misc/article.php/c5667I i ibilit NT b htt // tl /lib/ hf00 ht lInvisibility on NT boxes. http://vx.netlux.org/lib/vhf00.htmlRootkit Hacker Defender. http://es.wikipedia.org/wiki/Hacker_DefenderADS. http://prog-asm.blogspot.com/2007/10/alternate-data-stream-caracteristicas.htmlBootRoot. http://research.eeye.com/html/tools/RT20060801-7.html. http://www2.gmer.net/mbr/Rootkit en el sector de arranque ¿otra vez?. http://blogs.eset-la.com/laboratorio/2008/01/14/rootkit-sector-arranque/Sitio personal de Joanna Rutkowska. http://invisiblethings.org/