A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

RootKits RootKits Definição: Codigo ou conjunto de codigos usados, após uma invasao, para ocultar a presença do invasor na.

Apresentações semelhantes


Apresentação em tema: "RootKits RootKits Definição: Codigo ou conjunto de codigos usados, após uma invasao, para ocultar a presença do invasor na."— Transcrição da apresentação:

1 RootKits

2 RootKits Definição: Codigo ou conjunto de codigos usados, após uma invasao, para ocultar a presença do invasor na maquina da vitima.

3 RootKits

4 RootKits

5 RootKits Rootkits Populares: SuckITT0rn Ambients Rootkit (ARK) FuckITAdoreBBD

6 RootKits Softwares para detecção: ChkrootkitRkhunterAIDETripwire

7 RootKits Histórico: 1989 – Publicado o primeiro rootkit na phrack magazine – Publicado o primeiro rootkit na phrack magazine – CERT menciona a existencia de rootkits em seus alertas – CERT menciona a existencia de rootkits em seus alertas – Rootkit se torna popular entre os invasores – Rootkit se torna popular entre os invasores – Referencia a LKM maliciosos em forma de rootkits – Referencia a LKM maliciosos em forma de rootkits – Publicado a 3 geração de rootkit. /dev/kmem is your friend – Publicado a 3 geração de rootkit. /dev/kmem is your friend.

8 RootKits 1 Geração: Rootkits Binarios. Sistemas Alvo: SunOS, Linux. Atuacao: substituição de binários como, os, ifconfig, login, find, etc. Retirada dos logs: Wtmp. Uso de arquivos de configuração.

9 RootKits 2 Geração: Rootkits em LKM (Linux Kernel Module) Sistemas Alvo: Linux, BSD, MacOS. Atuação: Modulos do kernel. Retirada dos logs: Automaticamente.

10 RootKits 3 Geração: Rootkits -> /dev/kmem Sistemas Alvo: Linux. Atuação: Memória do kernel. Retirada dos logs: Automaticamente. Keyloggers, sniffers etc.

11 RootKits 3 Geração: I dev/kmem is our friend", assim cita o artigo "Linux on-the-fly kernel patching without LKM" (Sd e Devik, 2001), que trouxe à tona uma nova geração de rootkits. Na segunda geração dos rootkits, com a retirada do suporte a carregamento de módulois, foi neutralizada a sua ação quase em 95%; o administrador inibia uma função facilitadora, mas ganhava muito em segurança. Na segunda geração dos rootkits, com a retirada do suporte a carregamento de módulois, foi neutralizada a sua ação quase em 95%; o administrador inibia uma função facilitadora, mas ganhava muito em segurança. Sd e Devik apresentaram uma solução que é complexa e extremamente criativa. O linux possui um dispositivo conhecido como kmem (/dev/kmem), que possui o diretório de escrita e leitura somente pelo root. Este dispositivo abstrato virtual utilizada pelo kernel para a memória real (/dev/mem) ou seja, o mesmo faz o endeçamento da memória real+swap.

12 RootKits 3 Geracao: Suckit. sd e Devik apresentaram uma nova geração de rootkits, o programa suckit. O funcionamento do suckit é uma das coisas mais interessantes que existem, basicamente podemos dizer que o mesmo cira um tabela particular de syscalls e desvia o entry point do kernel para a mesma. O resultado é que não é necessária a utilização de LKMs. O linux disponibiliza um meio de localizar qualquer símbolo exportado ou utilizado pelo kernel, conforme comentamos antes, isso é guardado no System.map. O que estes rootkits fazem de uma maneira mais complexa é criar uma tabela própria através de comparação de bytes das informações da system calls e com isso redirecionar o kernel para um espécie de tabela de símbolos própria e reescrever o kmem.

13 RootKits 3 Geração: O suckit faz isso e é virtualmente impossível a sua detecção. Contudo, uma solução encontrada para a detcção dos mesmos cai na velha técnica de auditoria de arquivos, ja que estes programas, ao serem instalados, criam arquivos e diretórios próprios. Outra maneira é auditar as conexões, já que o backdoor do mesmo possui um modus operandi, que permite determinar tentativas de conexão e algumas portas de serviços no sistema. Uma maneira de proteger servidores dete genero é prevenir o kmem contra escrita, o que representa em alguns casos um custo muito alto para a segurança de um servidor. Os próprios autores do suckit sugerem um patch para o kernel que faria isso.

14 RootKits Rootkits mais comuns: Linux Rootkit (LRK) Linux Rootkit (LRK) TeLeKit TeLeKit Adore Adore Knark Knark t0rnkit t0rnkit Kernel Intrusion System (KIS) Kernel Intrusion System (KIS)

15 chfnTrojaned! User->r00t chshTrojaned! User->r00t inetdTrojaned! Remote access loginTrojaned! Remote access lsTrojaned! Hide files duTrojaned! Hide files ifconfigTrojaned! Hide sniffing netstatTrojaned! Hide connections passwdTrojaned! User->r00t psTrojaned! Hide processes topTrojaned! Hide processes rshdTrojaned! Remote access syslogdTrojaned! Hide logs linsnifferPacket sniffer! fixFile fixer! z2Zap2 utmp/wtmp/lastlog eraser! wtedwtmp/utmp editor! lledlastlog editor! bindshellport/shell type daemon! tcpdTrojaned! Hide connections, avoid denies RootKits

16 RootKits Adore-ng

17 RootKits Adore-ng

18 RootKits Adore-ng Caracteristicas:

19 RootKits Adore-ng

20 RootKits Aide Detectando um rootkit binário.

21 RootKits Detectando LRK4

22 RootKits REWT

23 RootKits

24 RootKits Perguntas: 1 - E possível restabelecer confiança em uma maquina com rootkit instalado? 2 – Quais as 3 gerações de rootkits?

25 RootKits Exercícios. Brincar com os diversos rootkits e backdoors. Trabalho em dupla: Fazer ou montar sua propia backdoor.


Carregar ppt "RootKits RootKits Definição: Codigo ou conjunto de codigos usados, após uma invasao, para ocultar a presença do invasor na."

Apresentações semelhantes


Anúncios Google