Forense - ferramentas
Especialização Segurança da Informação
Forense – Rootkits
Nome: Paulo Ferreira de Souza
Professor: Marcelo da Silva Conterato
Porto Alegre/2012
O que é um Rootkit?
Conjunto de um ou mais softwares que tem como principal objetivo ofuscar determinadas ocorrência do sistema em que se encontra. Costumam ser usados por invasores de sistemas para manterem acesso após um ataque bem sucedido, sem que precisem subverter o sistema novamente.
Cada Rootkit possui diferentes características, mas em geral realizada alguns procedimentos como:
• Esconder informações sobre os processos referentes;
• Esconder seus arquivos
• Esconder sockets criados para comunicação em rede
• Modifica ou restringir o acesso aos arquivos de log;
O termo rookit vem da junção de \root e \kit. Root representa o chamado super-usuário root, em sistemas Unix-like. Este usuário tem poder completo sobre o sistema. O termo kit, vem do conjunto de programas/ferramentas que compõem o rootkit.
Tipos de Rootkits:
Rootkit de aplicativo (Modo usuário)
Esse tipo modifica arquivos binários básicos do sistema operacional como, por exemplo, os responsáveis pela listagem de arquivos num diretório, de processos, de conexões de rede ativas.
Sua forma de instalação é trivial. Uma vez que o invasor obteve acesso privilegiado a maquina, os binários dos aplicativos a serem modificados são baixados e substituem os originais. Então ao chamar um programa como o `ls' do GNU/Linux, o modicado seria executado e esta versão nova, não listaria arquivos relacionados ao rootkit.
Exemplos de binários que podem ser alterados em sistemas GNU/Linux com um determinado
Proposito:
• Esconder processos. Arquivo `ps'.
• Esconder arquivos e diretórios maliciosos. Arquivos `ls', `dir'.
• Esconder usuários. Arquivos `w', `who'.
• Esconder conexões de rede. Arquivo `netstat'.
• Permitir o aumento de privilegio no sistema. Arquivos `/bin/login', `su'.
• Permitir