29 junio 2012

Cómo analizar tu computadora en busca de rootkits en Linux, BSD y OSX

Los que vivimos  en la tierra de UNIX a menudo no tenemos que lidiar con el malware. Sin embargo, esto no significa que seamos inmunes. Todos descargamos software online, e incluso aquellos que se mantienen con sólo los paquetes de su proveedor de software pueden ser afectado por bugs o agujeros de seguridad. Como dice el viejo refrán, “Hombre prevenido vale por dos”, es por eso que hoy me gustaría mostrarte algunas maneras de escanear tu sistema para asegurarte de que no hay rootkits asechando tu computadora.

Exploración rápida y sencilla

Una técnica muy común, usada por algunos autores de malware, consiste en sustituir un sistema binario normal con uno que lleva a cabo acciones adicionales o alternativas. Muchos de ellos tratan de protegerse a sí mismos al hacer inmutables sus versiones corruptas en un intento de hacer que la infección sea más difícil de eliminar. Afortunadamente, esto deja huellas que pueden ser recogidas por las herramientas normales del sistema.
Utiliza el comando lsattr para mostrar los atributos de los archivos binarios del sistema en lugares como /bin, /sbin y /usr/bin
lsattr /usr/bin


Es posible que necesites privilegios de root para explorar algunos lugares como /sbin. Si el scan te muestra otros atributos como s, i, o, esto podría ser una señal de que algo está mal, y deberias intentar un análisis más profundo, como el que se muestra a continuación.

chkrootkit

Chkrootkit es una herramienta para explorar los archivos vitales del sistema para determinar si alguno de ellos muestran signos de malware conocido. Es un grupo de scripts que utilizan herramientas existentes y comandos para validar los archivos del sistema. Debido a esto, se recomienda que se ejecute desde un Live CD , donde puede haber mayor confianza en que las herramientas de base no han sido comprometidas. Se puede ejecutar desde la línea de comandos con sólo emitir el siguiente comando:
chkrootkit

Ya que chkrootkit no crea un archivo de registro por defecto, te recomiendo redirigir la salida a un archivo de registro, de esta manera
chkrootkit> MiArchivodeRegistro.txt
Cuando termine, basta con abrir el archivo de registro en el editor de texto de tu preferencia.

Rootkit Hunter (rkhunter)

Rootkit Hunter actúa mucho como chkrootkit, pero basa gran parte de su funcionalidad en hash checks. Rootkit Hunter también podría ser considerado más profundo que chkrootkit, ya que incluye controles adicionales sobre el estado de la red, los módulos del núcleo y otras piezas que chkrootkit no escanea.
Para iniciar un análisis local, basta con ejecutar el siguiente comando:
rkhunter-c

Al finalizar el analisis, te mostrará un resumen con los resultados de su estudio.

Rootkit Hunter crea un archivo de registro por defecto, y lo guarda en /var/log/rkhunter.log.
Cuidado!: estas dos aplicaciones, así como el método “manual” , pueden generar falsos positivos. Si se obtiene un resultado positivo, investiga a fondo antes de tomar cualquier acción. Con suerte, uno de estos métodos te podrá ayudar a identificar una amenaza antes de que sea un problema. Si tenes alguna otra sugerencia en cuanto a formas de detectar archivos y aplicaciones que representen algun tipo de amenza, por favor, comunicalo en los comentarios a continuación. Saludos

Tomado de: http://geeks-zone.net/2011/07/como-analizar-tu-computadora-en-busca-de-rootkits-en-linux-bsd-y-osx/

No hay comentarios: