Que es un Rootkit
Los rootkits son una colección de herramientas que permiten a un atacante mantener el acceso en un sistema por medio de una puerta trasera (Backdoor) y principalmente busca ocultar el hecho de que el sistema está comprometido, esto se logran alterando el sistema operativo para así poder mantener el acceso una vez que el atacante ha obtenerlo para tener el control de la maquina a su completa disposición.
Los rootkits ocultan inicios de sesión, programas, archivos y procesos de un administrador del sistema, algunos rootkits también incluyen capacidades para recopilar información de la red local a través del escaneos y una de sus principales características es ocultar y persistir la presencia del atacante en el sistema.
Para profundizar un poco mas en el tema de los rootkis dejo este link donde se encuentra El siguiente proyecto - "Rootkit de Linux Kernel Module (LKM)" este proyecto es con fines educativos. para poder entender un poco como es que funcionan los rootkits
https://github.com/rootfoo/rootkit.git
Escribiendo tu propio rootkit en linux por @Marcus Hodges
https://cutt.ly/RpdkjLi
Tipos de Rootkits
Linux User-Mode Rootkits
Winodws User-Mode Rootkits
Kernel-mode Rootkits
En le siguiente enlace puede encontrar algunos rootkits y software relacionado:
https://packetstormsecurity.com/search/?q=rootkits
Como Detectar Rootkits
Como mencione los rootkits reemplazarán varios archivos críticos en el sistema y cada una de estas modificaciones está diseñada para ayudar al atacante a esconderse en la máquina víctima.
Una manera comun de esconderse es remplazar servicios de inicio de sesión por ejemplo o ediatar servicios como inetd, sshd, y tcpd. Si el atacante se conecta a cualquiera de estos procesos a través de la red y proporciona la contraseña que el mismo creo, se le otorga acceso remoto al atacante.Otra forma es modificar varios comandos locales para incluir backdoors,los comandos del sistema se pueden sobrescribir con nuevas versiones(maliciosas).
La mejor defensa contra los rootkits a travez del monitoreo del los sistemas de una manera proactiva y contar con un HIDS Intrusion detection sysment basado en Host que nos permita contar con las firmas de los rootkits conocidos. ademna se recomienda usar una herramienta de monitoreo de integridad del sistema de archivos.
para poder verificar periódicamente la
integridad de sus archivos del systema y poder identificar un cambio de manera oportuna.
Tambine se recomienda verificar la integridad del software que se instalara para asegúrarse de que es un archio de confianza para esto se recominda consultar la NSRL (Nacional Software Reference Library) creada y mantenida por NIST.
Se puede descargar a través:
https://www.nist.gov/itl/ssd/software-quality-group/national-software-reference-library-nsrl/nsrl-download/current-rds
Ademas Internet Storm Center ha creado un sitio web gratuito que permite a los usuarios buscar en el NSRL simplemente pegando un hash MD5 o SHAI en un formulario web. El sitio web mostrará cualquier programa en el NSRL que tenga el hash dado.
WAZUH y su Capacidad como FIM
El sistema de monitoreo de integridad de archivos (FIM) de Wazuh vigila los archivos seleccionados de los sistemas y activa alertas cuando se modifican estos archivos.
El componente responsable de esta tarea se llama syscheck, este componente almacena la suma de comprobación criptográfica y otros atributos de un archivo bueno conocido o una clave de registro y lo compara regularmente con el archivo actual utilizado por el sistema, buscando cambios.
WAZUH Rootkit Detection
Acá dejo las opciones disponibles para el componente rootcheck que se encarga de la detección de rootkits:
rootkit_files : contiene las firmas de rootkit de nivel de aplicación basadas en Unix.
rootkit_trojans : contiene las firmas de troyanos de nivel de aplicación basadas en Unix.
check_files : active o desactive las comprobaciones de rootkit.
check_trojans : habilita o deshabilita las comprobaciones de troyanos.
check_dev : busca archivos sospechosos en el sistema de archivos / dev.
check_sys : escanea todo el sistema en busca de anomalías de bajo nivel.
check_pids : Verifica los procesos en busca de anomalías.
check_ports : comprueba todos los puertos de escucha en busca de anomalías.
check_if : comprueba las interfaces para detectar anomalías.
https://documentation.wazuh.com/3.9/pci-dss/rootkit-detection.html
Comments