Los
sistemas informáticos se enfrentan a las amenazas de muchos tipos de ataques
como rootkits. Un rootkit es un tipo de software oculto, a menudo malicioso,
diseñado para ocultar la existencia de procesos o programas de métodos normales
de detección para habilitación de acceso privilegiado a un equipo. Una vez que
los atacantes han obtenido acceso root, van a instalar rootkits para ocultar la
evidencia para que los administradores de sistemas no puedan detectarlos según
Webimprints, empresa de pruebas de penetración en México.
Además
de robo de información sensible, los atacantes también utilizan rootkits a
crear puertas traseras para ataques posteriores. Los rootkits son difíciles de
detectar ya que un rootkit intenta ocultar su existencia de los programas
anti-malware. Detección de rootkit se puede clasificar en tres grupos explica
Dave Smith experto de seguridad de datos en México.
En
el primer grupo, los investigadores de pruebas de penetración analizan y
caracterizan los comportamientos de los rootkits. Por ejemplo, HookFinder
proporciona información valiosa y detalles sobre los mecanismos de enganchar
que se utilizan por los atacantes. K-Tracer y Panorama son herramientas
automáticas que pueden de manera eficiente analizar el acceso a datos y
trayectorias de propagación y comportamientos de manipulación de los diferentes
programas.
En
el segundo grupo, los investigadores de pruebas de penetración tratan de
detectar los rootkits mediante ciertos síntomas que se exhiben por la
intrusión. Por ejemplo, SBCFI (statebased integridad de control de flujo)
supervisa la integridad del núcleo del sistema operativo para detectar cambios
maliciosos.
En
el tercer grupo, las herramientas están diseñadas para evitar los cambios por
los rootkits en el núcleo del sistema operativo. La emergencia de la
computación en nube se abre un nuevo horizonte para la solución de este
problema.
En
un entorno virtualizado, el hipervisor puede monitorear el comportamiento de
las máquinas virtuales. Mientras que un rootkit puede ser capaz de engañar al
sistema operativo virtual, será muy difícil para ocultar un proceso malicioso
desde el hipervisor. Varios sistemas de seguridad se han desarrollado para la
detección de rootkits en máquinas virtuales. Por ejemplo, investigadores
de seguridad de datos en México., utiliza el Vmwatcher y revisa la máquina virtual en
general de una manera no intrusiva para inspeccionar estados de bajo nivel de
VM.
UCON es un programa basada en eventos. Se mantiene accede al
sistema a nivel bajo y asegura que los accesos no pueden ser comprometidas por
procesos internos de una máquina virtual.
No comments:
Post a Comment