top of page
Admin

Detección de Rootkits con WAZUH



Que es un Rootkit


Los rootkits son una colección de herramientas que permiten a un atacante mantener el acceso en un sistema por medio de una puerta trasera (Backdoor) y principalmente busca ocultar el hecho de que el sistema está comprometido, esto se logran alterando el sistema operativo para así poder mantener el acceso una vez que el atacante ha obtenerlo para tener el control de la maquina a su completa disposición.


Los rootkits ocultan inicios de sesión, programas, archivos y procesos de un administrador del sistema, algunos rootkits también incluyen capacidades para recopilar información de la red local a través del escaneos y una de sus principales características es ocultar y persistir la presencia del atacante en el sistema.


Para profundizar un poco mas en el tema de los rootkis dejo este link donde se encuentra El siguiente proyecto - "Rootkit de Linux Kernel Module (LKM)" este proyecto es con fines educativos. para poder entender un poco como es que funcionan los rootkits


https://github.com/rootfoo/rootkit.git

Escribiendo tu propio rootkit en linux por @Marcus Hodges


https://cutt.ly/RpdkjLi


Tipos de Rootkits


  • Linux User-Mode Rootkits

  • Winodws User-Mode Rootkits

  • Kernel-mode Rootkits


En le siguiente enlace puede encontrar algunos rootkits y software relacionado:


https://packetstormsecurity.com/search/?q=rootkits

Como Detectar Rootkits


Como mencione los rootkits reemplazarán varios archivos críticos en el sistema y cada una de estas modificaciones está diseñada para ayudar al atacante a esconderse en la máquina víctima.


Una manera comun de esconderse es remplazar servicios de inicio de sesión por ejemplo o ediatar servicios como inetd, sshd, y tcpd. Si el atacante se conecta a cualquiera de estos procesos a través de la red y proporciona la contraseña que el mismo creo, se le otorga acceso remoto al atacante.Otra forma es modificar varios comandos locales para incluir backdoors,los comandos del sistema se pueden sobrescribir con nuevas versiones(maliciosas).



La mejor defensa contra los rootkits a travez del monitoreo del los sistemas de una manera proactiva y contar con un HIDS Intrusion detection sysment basado en Host que nos permita contar con las firmas de los rootkits conocidos. ademna se recomienda usar una herramienta de monitoreo de integridad del sistema de archivos.

para poder verificar periódicamente la

integridad de sus archivos del systema y poder identificar un cambio de manera oportuna.


Tambine se recomienda verificar la integridad del software que se instalara para asegúrarse de que es un archio de confianza para esto se recominda consultar la NSRL (Nacional Software Reference Library) creada y mantenida por NIST.


Se puede descargar a través:


https://www.nist.gov/itl/ssd/software-quality-group/national-software-reference-library-nsrl/nsrl-download/current-rds

Ademas Internet Storm Center ha creado un sitio web gratuito que permite a los usuarios buscar en el NSRL simplemente pegando un hash MD5 o SHAI en un formulario web. El sitio web mostrará cualquier programa en el NSRL que tenga el hash dado.


WAZUH y su Capacidad como FIM


El sistema de monitoreo de integridad de archivos (FIM) de Wazuh vigila los archivos seleccionados de los sistemas y activa alertas cuando se modifican estos archivos.


El componente responsable de esta tarea se llama syscheck, este componente almacena la suma de comprobación criptográfica y otros atributos de un archivo bueno conocido o una clave de registro y lo compara regularmente con el archivo actual utilizado por el sistema, buscando cambios.




WAZUH Rootkit Detection


Acá dejo las opciones disponibles para el componente rootcheck que se encarga de la detección de rootkits:


  • rootkit_files : contiene las firmas de rootkit de nivel de aplicación basadas en Unix.

  • rootkit_trojans : contiene las firmas de troyanos de nivel de aplicación basadas en Unix.

  • check_files : active o desactive las comprobaciones de rootkit.

  • check_trojans : habilita o deshabilita las comprobaciones de troyanos.

  • check_dev : busca archivos sospechosos en el sistema de archivos / dev.

  • check_sys : escanea todo el sistema en busca de anomalías de bajo nivel.

  • check_pids : Verifica los procesos en busca de anomalías.

  • check_ports : comprueba todos los puertos de escucha en busca de anomalías.

  • check_if : comprueba las interfaces para detectar anomalías.



https://documentation.wazuh.com/3.9/pci-dss/rootkit-detection.html

102 visualizaciones

Entradas recientes

Ver todo

Comments


bottom of page