RootKits O que são e como agem.
O que é um RootKits.
O que são e como agem.
Basicamente ele é um cavalo de troia formado por um grande conjunto de ferramentas ou progamas.
Que basicamente tenta a qualquer custo se esconder tanto de seu usuario hospedeiro ou seja seu usuario infectado, quanto de softwares de
segurança tais como AVS (‘Anti Virus’) e firewall.
RootKits utiliza programação avançada ou seja, Ele utiliza uma forma que na minha opnião muito bem utilizada =D ele filtra todas as solicitações
feitas pelo SO (‘Sistema Operacional’) podendo alterar seus resultados.
Vamos a um exemplo.
Quando o SO faz uma solicitação para abertura de um progama ou arquivo, a ordem não importa de quem tenha partido seja do proprio usuario ou do
proprio AV do hospedeiro infectado.
O RootKit automaticamente sempre estará monitorando estas informações e interceptará os dados solicitados.
A interceptação via API.
E faz uma filtragem dessa informações solicitadas, deixando como resultados retornados para o usuarios apenas os códigos e arquivos não infectados.
Isso evita que AVs e outras ferramentas encontrem os arquivos maliciosos e tente excluilo.
Rootkits ocultam a sua presença no SO, como ele fez isso.
Escondendo suas chaves no registro, os seus processos no Gerenciador de Tarefas e conexões de rede.
Além de retornar erros do tipo “arquivo inexistente” ao tentar acessar os seus arquivos.
Ou seja By By AVs.
Um rootkit pode fornecer programas com a mais variadas funcionalidades.
Programas para remoção de evidências em arquivos de log.
Backdoors para garantir acessos futuros à máquina invadida.
Sniffers para capturar informações de rede onde o computador invadido está localizado.
Scanners para mapear potenciais vulnerabilidades em outros computadores.
keyloggers para capturar e enviar nomes de usuário e senhas para outro computador.
A origem do nome RootKits
Os rootkits possuem esse nome por serem “kits” de programas para a plataforma Linux responsáveis por manter o acesso total ao sistema previamente comprometido, agindo como backdoor.
Como “root” é o usuário com o controle total do computador nas plataformas Unix, originou-se o nome “rootkit” para denominar este conjunto de aplicativos.
É importante ficar claro que o nome rootkit não indica que as ferramentas que o compõe são usadas para obter acesso privilegiado (root ou Administrador) em um computador, mas sim para manter o acesso.
Detectores de RootKits
Detectores de rootkit, pedem para o Windows a lista de todos os arquivos no disco rígido (usando a API, que é interceptada) e depois fazem a listagem eles mesmos, usando uma programação de baixo nível sem usar a ajuda do Windows.
O resultado da listagem do Windows (que foi filtrada pelo rootkit) é comparado com a da listagem de baixo nível (que o rootkit não interceptou). As diferenças possivelmente são os arquivos do rootkit.
Como a maioria dos antivírus ainda não possuem uma função para detectar rootkits integradas à ferramenta principal e a grande maioria dos usuários ainda não adotaram detectores de rootkit, a melhor postura a se adotar para evitar problemas com eles é a prevenção.
Rootkits são instalados por páginas maliciosas na Web e por worms que exploram falhas no Windows.
Quote
Funcionamento
Os rootkits para Linux/Unix geralmente substituem os programas mais comuns, como os programas que listam arquivos, de modo que o administrador do sistema, ao listar os arquivos, não veja a presença dos arquivos do trojan.
No Windows, eles ‘infectam’ os processos na memória, de modo que toda vez que um processo requisite alguma informação sobre os arquivos do trojan, esta informação seja anulada antes de ser retornada ao programa, o que fará com que os softwares acreditem que estes arquivos não estejam lá.
O Hacker Defender é um dos rootkits mais avançados para Windows atualmente.
Ferramentas de detecção de RootKits
RootkitRevealer
F-Secure Blacklight
UnHackMe
Rootkit Hook Analyser
AVG Anti-Rootkit
Sophos Anti-Rootkit
Autor: Caleb
