Apresentação
Com a evolução tecnológica caminhando em passos largos para um mundo onde todos os equipamentos estarão conectados à internet, temos um cenário propício ao crescimento de crimes cibernéticos. Com este fato, decidimos falar sobre os Rootkits, ferramentas utilizadas para ocultar uma determinada ação ou invasão a um sistema computacional.
Iremos nos aprofundar no assunto mostrando como surgiram, seus tipos e maneiras de agir.
História
Os rootkits e suas funcionalidades tem mudado ao longo dos anos. Por causa das funcionalidades destas aplicações, a comunidade underground as adotaram rapidamente. Isto ajuda a entender de onde os rootkits surgiram, o porquê deles se adaptaram ao ambiente e o quê os atacantes pretendem fazer no futuro.
O predecessor do rootkit era um conjunto de aplicativos que removiam evidências de uma invasão em uma máquina, era conhecido como “log cleaner kits”. Foi descoberto no início do ano de 1989 em sistemas hackeados, estas ferramentas ajudavam os atacantes a encobrirem seus rastros. Estas aplicações automatizadas eram executadas assim que o atacante obtinha acesso administrativo e ficavam procurando variados arquivos de logs que continham quais usuários haviam logado e quais comandos ele teria executado. Uma vez que achava um determinado log que continha estas informações, o log era excluído ou tinha apenas a linha com as informações do atacante deletadas do arquivo.
Com o cuidado para que um possível Administrador do Sistema pudesse descobrir que algum atacante esteve ou está no servidor da empresa, os atacantes criaram a primeira geração de rootkit. A primeira geração serviu à um propósito maior, executar comandos de um atacante sem ser detectado.
Daí em diante os atacantes foram se sofisticando cada vez mais, abaixo uma linho do tempo da evolução dos rootkits.
• Final dos anos 80: Primeiros Log Cleaners found;
• 1994: Primeiros rootkits encontrados no SunOS;
• 1996: Primeiros rootkits encontrados no Linux;
• 1997: