Rootkits são ameaças invisíveis que ocultam intrusos dentro de sistemas, modificando processos e programas. Existem dois tipos: modo usuário que modifica arquivos e conexões de rede, e modo kernel que altera o próprio kernel para mascarar processos. A detecção é feita em modo live, no sistema em execução, ou post mortem, em imagens de disco, usando técnicas comportamentais ou verificação de integridade. Várias ferramentas como RootKitRevealer, Helios, BlackLight e TDSSKiller auxili
3. O que são RootKits ?
• São considerados ameaças invisíveis;
• Seu principal objetivo esconder um intruso dentro de
um sistema, através de ocultação de processos e/ou
programas;
• É oriundo dos sistemas UNIX;
• RSA Conferência
• Surgimento de Ferramentas
• Usado comercialmente (Sony)
• Direitos digitais e propriedade intelectual
4. RootKits
Modo Usuário
Modificação de Arquivos, conexões de
redes, ocultação de processos
Ex: ps, ls, who, netstat
Modo Kernel
Altera o próprio kernel do S.O
Altera forma dos processos vistos
Tela azul
5. Detecção de RootKits
A detecção de rootkits são feitas em dois
modos. São eles:
Modo Live, feito no próprio equipamento e
com o sistema “rodando”;
Modo Post Mortem, feito em uma imagem
do disco;
6. Modo Live
Técnica predominante em um sistema é
referenciada como “Comportamental” ou
“Diferencial”.
A técnica consiste em fazer dois tipos
diferentes de consulta para a mesma
informação e procurando nas respostas pode
ser detectado um rootkit ou algo sendo
camuflado pelo rootkit.
7. Modo Post Mortem
É feita o carregamento da imagem em
modo de somente leitura.
Os dados são carregados em modo de
arquivos em uma nova unidade de
disco. Independente se os arquivos
estejam com ou sem o atributo de
“Ocultos”, eles serão carregados como
“Visíveis”.
8. Outros métodos de detecção
Pesquisa por caracteres;
Verificação de integridade;
Verificação de processos do sistema e bibliotecas;
Análise de MAC times;
Análise de conexões de rede;
Analise processos do sistema e símbolos do kernel;
Procura por outros indícios;
Detecção de substituição;
Detecção de jumps incondicionais;
Detecção de funções que tiveram o seu código
alterado.
10. RootKit Reveler
Apesar de ter sido projetado para
detectar os rootkits que ocultam
arquivos e chaves de registro, ele
não detecta os que modificam
objetos do kernel.
11. Helios
Apesar de ser descrito como um
“sistema avançado de detecção
de malware” ele também não só
detecta, como também não
permite a entrada de rootkits.
12. F-Secure BlackLight
O BlackLight detecta objetos
ocultos por tecnologias de
rootkit e fornece ao usuário a
oportunidade de eliminar ou
remover o software ofensivo.
13. Anti-rootkit utility TDSSKiller
(KasperSky)
É uma ferramenta de detecção e
remoção de rootkits, não necessita
ser instalada. Atua na lista de rootkits
conhecidos e derivados, sua lista de
famílias é bem extensa.
15. RootkitBuster (TrendMicro)
É uma ferramenta gratuita que
verifica arquivos ocultos,
entradas de registro,
processos, drivers e o registro
mestre de inicialização (MBR)
para identificar e remover
rootkits.