Rootkits são ameaças invisíveis que ocultam intrusos dentro de sistemas, modificando processos e programas. Existem dois tipos: modo usuário que modifica arquivos e conexões de rede, e modo kernel que altera o próprio kernel para mascarar processos. A detecção é feita em modo live, no sistema em execução, ou post mortem, em imagens de disco, usando técnicas comportamentais ou verificação de integridade. Várias ferramentas como RootKitRevealer, Helios, BlackLight e TDSSKiller auxili

1. RootKits e
detecção de
RootKits

2. Alunos:
Emerson Guimarães;
Jander Cerqueira;
Jeferson Gonzaga;
Thiago Esquivel
Docente: Paulo Nazareno
MBA em Segurança da Informação

3. O que são RootKits ?
• São considerados ameaças invisíveis;
• Seu principal objetivo esconder um intruso dentro de
um sistema, através de ocultação de processos e/ou
programas;
• É oriundo dos sistemas UNIX;
• RSA Conferência
• Surgimento de Ferramentas
• Usado comercialmente (Sony)
• Direitos digitais e propriedade intelectual

4. RootKits
 Modo Usuário
 Modificação de Arquivos, conexões de
redes, ocultação de processos
 Ex: ps, ls, who, netstat
 Modo Kernel
 Altera o próprio kernel do S.O
 Altera forma dos processos vistos
 Tela azul

5. Detecção de RootKits
A detecção de rootkits são feitas em dois
modos. São eles:
Modo Live, feito no próprio equipamento e
com o sistema “rodando”;
Modo Post Mortem, feito em uma imagem
do disco;

6. Modo Live
 Técnica predominante em um sistema é
referenciada como “Comportamental” ou
“Diferencial”.
 A técnica consiste em fazer dois tipos
diferentes de consulta para a mesma
informação e procurando nas respostas pode
ser detectado um rootkit ou algo sendo
camuflado pelo rootkit.

7. Modo Post Mortem
 É feita o carregamento da imagem em
modo de somente leitura.
 Os dados são carregados em modo de
arquivos em uma nova unidade de
disco. Independente se os arquivos
estejam com ou sem o atributo de
“Ocultos”, eles serão carregados como
“Visíveis”.

8. Outros métodos de detecção
 Pesquisa por caracteres;
 Verificação de integridade;
 Verificação de processos do sistema e bibliotecas;
 Análise de MAC times;
 Análise de conexões de rede;
 Analise processos do sistema e símbolos do kernel;
 Procura por outros indícios;
 Detecção de substituição;
 Detecção de jumps incondicionais;
 Detecção de funções que tiveram o seu código
alterado.

9. Ferramentas

10. RootKit Reveler
Apesar de ter sido projetado para
detectar os rootkits que ocultam
arquivos e chaves de registro, ele
não detecta os que modificam
objetos do kernel.

11. Helios
Apesar de ser descrito como um
“sistema avançado de detecção
de malware” ele também não só
detecta, como também não
permite a entrada de rootkits.

12. F-Secure BlackLight
 O BlackLight detecta objetos
ocultos por tecnologias de
rootkit e fornece ao usuário a
oportunidade de eliminar ou
remover o software ofensivo.

13. Anti-rootkit utility TDSSKiller
(KasperSky)
É uma ferramenta de detecção e
remoção de rootkits, não necessita
ser instalada. Atua na lista de rootkits
conhecidos e derivados, sua lista de
famílias é bem extensa.

14. Rootkit Removal (Sophos)
 É uma ferramenta de
varreduras, detecta e remove
qualquer Rootkit.

15. RootkitBuster (TrendMicro)
 É uma ferramenta gratuita que
verifica arquivos ocultos,
entradas de registro,
processos, drivers e o registro
mestre de inicialização (MBR)
para identificar e remover
rootkits.

16. Dúvidas
e
Perguntas