martes, 25 de octubre de 2011

Hablando de .... RootKit

Muchas veces escuchamos términos que al final utilizamos tan frecuentemente que nos parecen cotidianos, pero realmente sabes lo que significa. Todo comenzo cuando termino la época romántica de los virus, el malware se convirtió en un negocio, uno muy lucrativo se calcula que genera mas beneficios que el narcotrafico.

Enlaces Relacionados

Entonces surge una necesidad, ocultar el ataque, cuanto mas tiempo tarde el usuario en notar la presencia del malware, cuanto mas tarde el sistema operativo en reconocer o producir un error, que alerte al usuario, mas tiempo se puede utilizar la maquina controlada, durante mas tiempo se roban datos o se utiliza esa maquina para fines ilícitos, spam, ataques a otras maquinas, servidor de archivos ilegales, etc.

Y la mejor manera de camuflar los programas y archivos maliciosos es que el sistema operativo, y el antivirus funcionen correctamente, sin identificar este malware como dañino. Entonces se crean una serie de programas o códigos que alteran el propio sistema para que el software que ataca la maquina no sea detectado, esos programas se denominan RootKit.
Las organizaciones criminales tienen auténticos profesionales, programando nuevos rootkit para que los antivirus y sistemas no los detecten, una autentica carrera entre criminales y profesionales de la seguridad.

Hoy en Security By Default tienes un Articulo de Yago Jesus, muy interesante si deseas profundizar un poco en el tema.  Análisis de Jynx (Linux Rootkit).

Seguridad a lo Jabalí para Todos !!!!

8 comentarios:

  1. Animate a Seguir el Blog, pulsa en "Participar en este sitio", y mantente actualizado de nuestros posts.
    Muchas gracias por leer este Blog!!!

    ResponderEliminar
  2. Los antivirus progresan y van teniendo también cierta capacidad para detectar rootkits, el problema es que los creadores de malware siempre van por delante.
    Saludos:)

    ResponderEliminar
  3. No lo veo tan claro Javier, en la parte de analizar el comportamiento de los programas y avisar si un codigo intenta cambiar el registro estanmejorando los antivirus. Pero lo que es Euristica, con cualquier cifrado, o pequeña modificacion ya no reconoce la firma del malware, ademas la produccion de modificaciones de la misma amenaza es tan enorme, que las casas de antivirus estan desbordadas.
    Lo veo bastante negro.....

    ResponderEliminar
  4. que bueno! lluego me paso a ver el articulo que recomendas
    gracias

    ResponderEliminar
  5. A eso me refiero, a que los antivirus siempre van por detrás ya que detectan firmas que son fácilmente modificables para crear nuevas variantes indetectables. Respecto a los rootkits, decía que los fabricantes de antivirus declaran que actualmente sus productos son también anti-rootkit, es decir, que pueden detectar (al menos en parte) ese tipo de malware oculto, pero estamos en las mismas, entiendo que en ese aspecto operan también con firmas y por tanto siguen yendo siempre por detrás de los creadores de virus.

    De momento pienso que solo cabe complementar el antivirus con un buen programa del tipo HIPS/IDS que bloquee los cambios que el virus pueda hacer en el sistema, como tú comentas.

    Saludos!

    ResponderEliminar
  6. toda la razon Javier, ademas recuerda que ante un rootkit que esta en tu sistema no te puedes fiar 100% de nada de lo que te diga el sistema y a veces ni siquiera software de terceros, solo me fiaria arracando desde Live y con software ejecutable.
    Detectar si hubo modificaciones sin una imagen previa para comparar tambein es complicado.
    Luego esta toda la parte de Marketing que se hace, hasta que punto puede ser verdad!!
    Un saludo Javier.

    ResponderEliminar
  7. De eso se trata de que se oculten otros programas mediante el Rootkit,un saludo.

    ResponderEliminar

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias