sábado, 30 de julio de 2011

Cómo analizar tu computadora en busca de rootkits en Linux, BSD y OSX









Exploración rápida y sencilla

Una técnica muy común, usada por algunos autores de malware, consiste en sustituir un sistema binario normal con uno que lleva a cabo acciones adicionales o alternativas. Muchos de ellos tratan de protegerse a sí mismos al hacer inmutables sus versiones corruptas en un intento de hacer que la infección sea más difícil de eliminar. Afortunadamente, esto deja huellas que pueden ser recogidas por las herramientas normales del sistema.
Utiliza el comando lsattr para mostrar los atributos de los archivos binarios del sistema en lugares como /bin, /sbin y /usr/bin
lsattr / usr / bin


 
Es posible que necesites privilegios de root para explorar algunos lugares como /sbin. Si el scan te muestra otros atributos como s, i, o, esto podría ser una señal de que algo está mal, y deberias intentar un análisis más profundo, como el que se muestra a continuación.

chkrootkit

 
es una herramienta para explorar los archivos vitales del sistema para determinar si alguno de ellos muestran signos de malware conocido. Es un grupo de scripts que utilizan herramientas existentes y comandos para validar los archivos del sistema. Debido a esto, se recomienda que se ejecute desde un Live CD , donde puede haber mayor confianza en que las herramientas de base no han sido comprometidas. Se puede ejecutar desde la línea de comandos con sólo emitir el siguiente comando: 
chkrootkit

 
Ya que chkrootkit no crea un archivo de registro por defecto, te recomiendo redirigir la salida a un archivo de registro, de esta manera
chkrootkit> MiArchivodeRegistro.txt
Cuando termine, basta con abrir el archivo de registro en el editor de texto de tu preferencia.

Rootkit Hunter (rkhunter)

 
actúa mucho como chkrootkit, pero basa gran parte de su funcionalidad en hash checks. Rootkit Hunter también podría ser considerado más profundo que chkrootkit, ya que incluye controles adicionales sobre el estado de la red, los módulos del núcleo y otras piezas que chkrootkit no escanea. Para iniciar un análisis local, basta con ejecutar el siguiente comando:
rkhunter-c

 
Al finalizar el analisis, te mostrará un resumen con los resultados de su estudio.

 
Rootkit Hunter crea un archivo de registro por defecto, y lo guarda en /var/log/rkhunter.log.
Cuidado!: estas dos aplicaciones, así como el método “manual” , pueden generar falsos positivos. 

Si se obtiene un resultado positivo, investiga a fondo antes de tomar cualquier acción. Con suerte, uno de estos métodos te podrá ayudar a identificar una amenaza antes de que sea un problema. 

Si tienes alguna otra sugerencia en cuanto a formas de detectar archivos y aplicaciones que representen algun tipo de amenza, por favor, comunicalo en los comentarios a continuación. Saludos
Publicado por

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)