Descargar la presentación
La descarga está en progreso. Por favor, espere
Publicada porMilagros Villalobos Belmonte Modificado hace 8 años
1
Rootkits: Escondiéndose del administrador SISTEMAS OPERATIVOS Por: Eduardo Valdez GRUPO: 07 Semestre 2016-2
2
ORIGEN DEL TÉRMINO El término viene de la unión de "Root" y de "Kit". "Root" se refiere al usuario con máximos derechos en sistemas operativos tipo Unix (puede ser GNU/Linux, AIX, BSD, etc). Es el superusuario, el administrador o "sysop", en definitiva, es la expresión máxima de autoridad sobre un determinado sistema operativo. Por su parte, “Kit" se refiere a un conjunto de herramientas. Por lo que un Rootkit se puede entender como un conjunto de herramientas con categoría de administrador de un sistema.
3
¿BUENO o MALO? Ya que es un conjunto de herramientas usadas frecuentemente por los intrusos informáticos o "crackers" con el objetivo de acceder ilícitamente a un sistema. Generalmente MALO
4
¿De qué manera afectan a un Sistema Operativo? En la práctica, son programas que una vez instalados en un sistema operativo, efectúan las modificaciones necesarias para poder llevar a cabo las tareas que tiene programadas sin que su presencia pueda ser detectada. Fundamentalmente, los Rootkits tratan de encubrir a otros procesos que están llevando a cabo acciones maliciosas en el sistema operativo.
5
¿De qué manera afectan a un Sistema Operativo? Por ejemplo, si en el sistema operativo hay una puerta trasera ( backdoor ) para llevar a cabo tareas de espionaje, el Rootkit ocultará los puertos abiertos que delaten la comunicación; o si hay un sistema para enviar spam, ocultará la actividad del sistema de correo.
6
¿Cómo actúan en el Sistema Operativo? Cuando el antivirus haga una llamada al Sistema Operativo para comprobar qué archivos hay, o cuando intente averiguar qué procesos están en ejecución, el Rootkit falseará los datos y el antivirus no podrá recibir la información correcta para llevar a cabo la desinfección del sistema. Pongamos como ejemplo rápido un Sistema Operativo Windows
7
¿Y eso cómo lo hacen? En general un sistema operativo cuenta con dos áreas de memoria bien diferenciada: el espacio de usuario y el espacio de kernel. En una arquitectura típica, estos espacios se ubican en "anillos de seguridad” con nivel de privilegios distintos.
8
¿Y eso cómo lo hacen? En el espacio de usuario correspondiente al anillo menos privilegiado (anillo 3) se ejecutan las aplicaciones en un entorno controlado, que no tiene acceso directo a los recursos (memoria, disco, dispositivos, etc.) si no que debe solicitarlo a través de llamadas al sistema. En el espacio de kernel (anillo 0, de máximo privilegio) se gestiona y se tiene acceso total a cualquier recurso, siendo donde se ejecuta el núcleo del sistema operativo.
9
¿Y eso cómo lo hacen? Los anillos intermedios no son de implementación frecuente y en la mayoría de sistemas sólo tendremos que contar con el espacio de usuario y el espacio de kernel. Teniendo en cuenta esta segmentación podemos clasificar dos variantes principales de rootkits: rootkits en espacio de usuario y rootkits en espacio de kernel. Lógicamente dados los distintos niveles de privilegios de los dos espacios, un rootkit de kernel será mucho más avanzado, potente y difícil de detectar que un rootkit en espacio de usuario.
10
Tipos de Rootkits Rootkits en Espacio de Usuario: Corren en el anillo 3 y modifican librerías, o archivos de configuración e inclusive ejecutables. Rootkits en Espacio de Kernel : Corren en el anillo 0 y modifican estructuras de Kernel, atrapan llamadas de sistema (hijacking syscall- table). Podemos tenerlos como LKM´s o como patch al kernel corriendo /dev/kmem
11
Métodos de ataque Modificación de las estructuras de datos (la misma que contiene los procesos corriendo en el sistema actualmente) Interceptando las llamadas al sistema mediante la modificación de la tabla de llamadas. Modificando la tabla de descriptores de las interrupciones (IDT) 0x80 Modificando la memoria del kernel (/dev/kmem)
12
¿LKM? (carga de módulos de kernel) Las comunicaciones entre el espacio de usuario (anillo 3) y el espacio del kernel (anillo 0) se hacen mediante archivos. Debido al punto anterior, existe y conocemos /proc, /sys, /dev. Dichos directorios sólo existen en RAM. Llamadas al sistema, están resguardadas en una tabla especial (sys_call_table).
13
DESPEDIDA Presentado por: Victor Eduardo Valdez Sistemas Operativos Grupo 07 Semestre 2016-2
14
¡CLARO!, NO OLVIDAR LAS FUENTES DE CONSULTA http://siberiano.aragon.unam.mx/labsec/7semsi/material/D1_c3_TopicosAvanzadosDeRootkits.pdf http://siberiano.aragon.unam.mx/labsec/7semsi/material/D1_c3_TopicosAvanzadosDeRootkits.pdf http://www.gitsinformatica.com/rootkit.htmlhttp://www.gitsinformatica.com/rootkit.html
15
DESPEDIDA ¡GRACIAS POR TU ATENCIÓN!
Presentaciones similares
© 2024 SlidePlayer.es Inc.
All rights reserved.