Sistemas de detction de rootkits

Los sistemas informáticos se enfrentan a las amenazas de muchos tipos de ataques como rootkits. Un rootkit es un tipo de software oculto, a menudo malicioso, diseñado para ocultar la existencia de procesos o programas de métodos normales de detección para habilitación de acceso privilegiado a un equipo. Una vez que los atacantes han obtenido acceso root, van a instalar rootkits para ocultar la evidencia para que los administradores de sistemas no puedan detectarlos según Webimprints, empresa de pruebas de penetración en México.

Además de robo de información sensible, los atacantes también utilizan rootkits a crear puertas traseras para ataques posteriores. Los rootkits son difíciles de detectar ya que un rootkit intenta ocultar su existencia de los programas anti-malware. Detección de rootkit se puede clasificar en tres grupos explica Dave Smith experto de seguridad de datos en México.

En el primer grupo, los investigadores de pruebas de penetración analizan y caracterizan los comportamientos de los rootkits. Por ejemplo, HookFinder proporciona información valiosa y detalles sobre los mecanismos de enganchar que se utilizan por los atacantes. K-Tracer y Panorama son herramientas automáticas que pueden de manera eficiente analizar el acceso a datos y trayectorias de propagación y comportamientos de manipulación de los diferentes programas.

En el segundo grupo, los investigadores de pruebas de penetración tratan de detectar los rootkits mediante ciertos síntomas que se exhiben por la intrusión. Por ejemplo, SBCFI (statebased integridad de control de flujo) supervisa la integridad del núcleo del sistema operativo para detectar cambios maliciosos.

En el tercer grupo, las herramientas están diseñadas para evitar los cambios por los rootkits en el núcleo del sistema operativo. La emergencia de la computación en nube se abre un nuevo horizonte para la solución de este problema.

En un entorno virtualizado, el hipervisor puede monitorear el comportamiento de las máquinas virtuales. Mientras que un rootkit puede ser capaz de engañar al sistema operativo virtual, será muy difícil para ocultar un proceso malicioso desde el hipervisor. Varios sistemas de seguridad se han desarrollado para la detección de rootkits en máquinas virtuales. Por ejemplo, investigadores de seguridad de datos en México., utiliza el Vmwatcher y revisa la máquina virtual en general de una manera no intrusiva para inspeccionar estados de bajo nivel de VM.

UCON es un programa basada en eventos. Se mantiene accede al sistema a nivel bajo y asegura que los accesos no pueden ser comprometidas por procesos internos de una máquina virtual.

Entender el desarrollo de una firma basada en valores de cabecera

Vamos a entender a través de un ejemplo de famoso malware Ramen porque los paquetes de ese malware tienen varias características distintivas. Éstos son algunos de los valores de cabecera IP y TCP que estaban presentes en los paquetes de Ramen malware. Varias direcciones IP de origen

• Puerto de origen TCP 21, puerto de destino 21

• Tipo de servicio 0

• Número de identificación IP 39426

• Banderas SYN y FIN marcado

• Varios números de secuencia establecida

• Varios números de confirmación establecida

• Tamaño de la ventana TCP 1028

Según Webimprints, empresa de seguridad informática, durante el desarrollo de firmas basadas en los valores de cabecera debemos buscar valores que son ilegales, inusual o sospechoso - en muchos casos, estas características se corresponden con las vulnerabilidades que el hacker está tratando de explotar, o una técnica particular que utiliza herramienta del atacante.

Dice Dave Smith experto de pruebas de penetración que ciertas características de los paquetes de Ramen malware podríamos utilizarse en firmas:

Una señal bien conocida de la actividad maliciosa es tener las banderas SYN y FIN marcados en un paquete.

Otra señal de que estos paquetes son modificados es que el número de reconocimiento tiene varios valores, pero la bandera ACK no se ha establecido. Cuando esa bandera no está definida, el número de reconocimiento se debe establecer en 0.

Según investigadores de empresa de seguridad informática, otra característica sospechosa es que los puertos de origen y destino están establecidos en 21, por lo general asociados con los servidores FTP. Cuando estos puertos son iguales, decimos que son reflexivos. En el tráfico FTP normal, esperamos ver un número alto de puerto (mayor que 1023) como el origen y el puerto 21 como destino.

Otra característica sospechosa es que el tamaño de la ventana TCP, que siempre se establece en 1028, normalmente, el tamaño de la ventana TCP es más grande que 1028 y no es la misma en todos los paquetes.

Otra característica sospechosa es que el número de identificación IP, que se fija en todos los paquetes a 39426. Este valor debe variar entre los paquetes, por lo que el mismo valor es muy sospechoso.

Como se señaló anteriormente experto de empresa de pruebas de penetración hemos identificado cinco posibles elementos de la firma y tenemos muchas opciones diferentes para el desarrollo de una firma basada en la cabecera, ya que una firma puede incluir una o más de estas características.

Una simple firma tendría configurado elementos de banderas SYN y FIN establecidos. Aunque esto sin duda sería un buen indicador de la actividad maliciosa probable es que no nos da ninguna idea de por qué se produjo esta actividad. Sin embargo, una firma basada en los cinco elementos sospechosas puede ser demasiado específica. Aunque proporcionará información mucho más precisa sobre el origen de la actividad, sino que también sería mucho menos eficiente.

Podríamos desarrollar varias firmas que utilizan varias combinaciones de estas características. Desarrollo de firmas depende mucho sobre los ambientes y tipos de ataques y experiencia con los sistemas de detección de intrusos mencionan expertos de empresa de seguridad informática en México.