Rootkits: como eles apareceram, seus tipos e formas de ação

Apresentação

Com a evolução tecnológica caminhando em passos largos para um mundo onde todos os equipamentos estarão conectados à internet, temos um cenário propício ao crescimento de crimes cibernéticos. Com este fato, decidimos falar sobre os Rootkits, ferramentas utilizadas para ocultar uma determinada ação ou invasão a um sistema computacional.

Iremos nos aprofundar no assunto mostrando como surgiram, seus tipos e maneiras de agir.

História

Os rootkits e suas funcionalidades tem mudado ao longo dos anos. Por causa das funcionalidades destas aplicações, a comunidade underground as adotaram rapidamente. Isto ajuda a entender de onde os rootkits surgiram, o porquê deles se adaptaram ao ambiente e o quê os atacantes pretendem fazer no futuro.

O predecessor do rootkit era um conjunto de aplicativos que removiam evidências de uma invasão em uma máquina, era conhecido como “log cleaner kits”. Foi descoberto no início do ano de 1989 em sistemas hackeados, estas ferramentas ajudavam os atacantes a encobrirem seus rastros. Estas aplicações automatizadas eram executadas assim que o atacante obtinha acesso administrativo e ficavam procurando variados arquivos de logs que continham quais usuários haviam logado e quais comandos ele teria executado. Uma vez que achava um determinado log que continha estas informações, o log era excluído ou tinha apenas a linha com as informações do atacante deletadas do arquivo.

Com o cuidado para que um possível Administrador do Sistema pudesse descobrir que algum atacante esteve ou está no servidor da empresa, os atacantes criaram a primeira geração de rootkit. A primeira geração serviu à um propósito maior, executar comandos de um atacante sem ser detectado.

Daí em diante os atacantes foram se sofisticando cada vez mais, abaixo uma linho do tempo da evolução dos rootkits.

• Final dos anos 80: Primeiros Log Cleaners found;

• 1994: Primeiros rootkits encontrados no SunOS;

• 1996: Primeiros rootkits encontrados no Linux;

• 1997: Rootkits baseados em carregamento de módulo kernel são mencionados no Phrack.

• 1998: Silvio Cesare libera o primeiro non-LKM kernel patching rootkit code. Lançamento do Back Orifice, uma ferramenta completa de backdoor para Windows;

• 1999: NT Rootkit, o primeiro rootkit para Windows é disponibilizada por Greg Hoglund;

• 2000: t0rnkit libproc rootkit/trojan é lançado;

• 2002: Sniffer Backdoors começam a aparecer nos rootkits. Hacker Defender é lançado, se tornando um dos rootkits para Windows mais utilizado;

• 2004: A maior parte do desenvolvimento do rootkit para Unix é parada e o foco passa a ser o Windows. FU rootkit é lançado e introduz uma nova técnica para ocultar os processos;

• 2005: Escândalo do rootkit Sony BMG vem à tona. Primeiro uso da tecnologia do rootkit no âmbito comercial;

• 2006: Rootkits se tornam parte da maioria dos worm e vírus. Rootkits virtuais começaram a ser desenvolvidos;

• 2007: Mebroot, um rootkit a nível de boot, é descoberto pela empresa de segurança iDefense;

• 2008: Rootkits em estado inicial de desenvolvimento para ter a possibilidade de ser instalado através do processo de boot adaptando o código do eEye Bootroot rootkit.

Características principais

Manter acessos

Manter um acesso a um sistema hackeado é muito importante para o atacante. Com a habilidade de "logar" no servidor com o total privilégio de administrador, o atacante pode alavancar ataques ao servidor, dados armazenados, ou hospedar um site malicioso. Um backdoor em uma aplicação quando executado, vai gerar usuários com privilégios totais de administrador no sistema. Backdoors locais atualmente são usados para tentar elevar seus privilégios. Backdoors remotos são geralmente a melhor forma de se conseguir. Inicialmente os rootkits tem uma variedades de backdoors remotos.

Furtividade

A segunda maior característica dos rootkits é sua habilidade de ocultar qualquer evidencia de sua existência no sistema. Os rootkits evoluíram de programas que os atacantes usavam como removedores de logs em sistemas invadidos. Os rootkits começaram a mudar para aquele que vai te garantir um acesso root continuo ao sistema acessado, um novo requerimento para esconder qualquer arquivo que chave de registro que o rootkit precise para operar se tornaria essencial. Se o rootkit esconder esses itens, o administrador do sistema e as ferramentas anti-rootkits teriam muito mais dificuldade e tempo de detectar o rootkit. A maioria dos rootkits escondem arquivos que eles geram, qualquer arquivo especificado pelo usuário do rootkit, e qualquer conexao de rede que é gerado por ele. A ultima geração de rootkits usam suas habilidades furtivas para ajudar outros malwares para roubar usuários e senhas, informações bancárias se escondendo dos usuários e ferramentas anti malware.

Tipos

Os rootkits podem funcionar em diferentes níveis do sistema. Para cada nível, o rootkit se estabelece de uma forma diferente e requer, portanto, estratégias diferenciadas para ser detectado. À medida que o rootkit tem acesso mais próximo ao hardware, o poder de controle aumenta consideravelmente, consequentemente, a complexidade da detecção.

Rootkits persistentes

Os rootkits persistentes são executados na inicialização do computador. Geralmente ficam ocultados no registro da inicialização, que é carregado pelo Windows ao ligar o computador. É de difícil detecção, pois, imita ações de arquivos confiáveis do computador e é executado automaticamente sem a intervenção do usuário. Alguns vírus e programas maliciosos também fazem uso desta técnica, pois, mesmo reiniciando o computador o rootkit permanece.

Rootkits baseados em memória

Ao contrário dos persistentes, o rootkit baseado em memória é desativado quando o computador é reiniciado. Este tipo de ferramente se esconde na memória volátil do computador (RAM). Quando você executa um programa, o computador reserva espaço

...