rootkits

Deteccion de Rootkits

Como preambulo al proximo tutorial que estoy preparando para el blog hackrovia "como construir nuestro rootkit"...un pequeño adelanto explicativo.....

Rootkit effect

Un rootkit es una coleccion de procesos y scripts troyanizados que automatizan muchas
de las acciones que realizamos a la hora de comprometer un siatema.

Los mas apasionantes desde mi punto de vista son los LKM, (Kernel Loadable Module) o
lo que es lo mismo modulos de kernel cargables.
Los LKMs son programas que pueden ser lanzados de manera dinamica dentro del kernel
despues de que el sistema se haya iniciado.

Por ejemplo ala hora de añadir un adaptador de red,se carga el controlador o "driver" :

# modprobe ath6k
(aki estariamos cargando el modulo para un adaptador atheros).

Esto hace que el controlador sea parte del kernel, y sea factible la utilizacion del adaptador
, sin que haga falta rebootear el sistema.

Aplicando este principio si fueramos capaces de construir un modulo "maligno y cargarlo
como parte del kernel , seriamos capaces de interceptar comandos del sistema, y
llegar a falsear la informacion del mismo,asi como instalar puertas traseras a nuestro antojo

Existen varias herramientas en Gnu/linux para su deteccion que aunque no son infalibles si
son altamente aconsejables utilizarlas ,tales como chrootkit,rkhunter,unhide
Todas ellas estan disponibles en los repositorios de Debian Squezze....y tambien se
pueden descargar desde:



http://sourceforge.net/search/?q=rootkit

Una GRAN obra y de aconsejable lecctura