Cuando un Rootkit es instalado dentro de un sistema, en la mayoría de los casos este pasa a ser administrado y manejado por una mano invisible, de la cual ni si quiera será detectada su presencia.
Un rootkit es un software, o mejor dicho un conjunto de herramientas, que normalmente está asociado a su utilización para fines maliciosos, ya que su objetivo y razón es la de ocultar la presencia de malware en el sistema y/o permitir el acceso a un equipo o sistema, al que no se podría acceder sin autorización de privilegios y utilizando sus propiedadades, se mantiene oculto (invisible) a ojos de los administradores, mientras corrompe el funcionamiento normal del propio sistema y de las aplicaciones que se encuentran en él, con el objetivo fundamental de ejecutar acciones remotas y/o conseguir substraer información del mismo.
El Rootkit tiene la capacidad de penetrar en el sistema e interceptar las funciones del mismo y modificarlas, ocultar procesos, archivos, registros, crear backdoors, además algunos rootkit se encargan por si mismos de instalar en el sistema sus propios drivers.
Puede llegar a un sistema de forma automatizada o por medio de un atacante que una vez accedido a un sistema o programa lo instala ahí.
El atacante accederá al sistema explotando vulnerabilidades y una vez instale en rootkit podrá tener un acceso privilegiado, administrando y modificando las características, incluyendo el software y mientras esto sucede podrá ocultar su existencia asegurando el éxito de la operación.
Detectar que un Rootkit es bastante complicado, ya que puede ser capaz desestabilizarlo y desestructurarlo y en el caso de detectarlo la eliminación es muy complicada, sobre todo en situaciones en que el Rootkit se encuentre instalado en el núcleo del sistema, donde la manera más eficaz y óptima de desacernos de él, sería la reinstalación del sistema operativo intentando borrar todo su rastro.
En esta entrada voy a mostrar una herramienta capaz de detectar rootkits y backdoors, mediante la comparación de hashes MD5 de algunos de los ficheros importantes del sistema, códigos sospechosos en el kernel, permisos incorrectos o defectuosos y realización de pruebas de análisis de detección.
Esta herramienta es: "Rkhunter".
Rkhunter está disponible para los sistemas operativos:
GNU/Linux, BSD, AIX, Mac OS X, SME, Solaris, y otros Sistemas operativos basados en Unix.
Para la entrada utilizaré Mac OS X.
Instalarlo en Mac es bastante sencillo, solo se debe de acceder al terminal y utilizar algún software gestor de paquetes para Mac OS, como puede ser Homebrew o Macports.
Instalar estas herramientas es bastante sencillo y aunque ya lo comentaré en alguna entrada futura, para los que las desconocen, os animo a informaros sobre ellas.
Para hacer la entrada, vamos a instalar por ejemplo Homebrew rápidamente ...
Este gestor de paquetes, en pocas palabras, lo que hace es ayudarnos a instalar paquetes de aplicaciones en Mac, de forma comoda por medio de un simple comando y descargando dichas aplicaciones de los repositorios con los que trabaja.
Una vez instalado Homebrew, vamos a pasar a instalar Rkhunter utilizando el sencillo siguiente comando.
Una vez hecho esto, como se puede observar en la imagen, Rkhunter a sido descargado e instalado en la ruta indicada.
Para ejecutar la herramienta solo queda lanzar el comando: rkhunter.
El terminal nos muestra las diferentes opciones que nos ofrece la herramienta.
Antes de empezar, actualizamos la base de datos de Rkhunter con el siguiente comando.
Una vez actualizado procederemos a comenzar a analizar el equipo o sistema.El comando: rkhunter --check
En su análisis realiza pruebas de detección rootkits, algunos de ellos muy frecuentes o conocidos: beX2, Gaskit, T0rn, Trojanit Kit, OS X Rootkit, Shutdown, TBD, etc.
Rkhunter entre otras, realiza pruebas en los puertos abiertos del sistema, analiza y comprueba los permisos y privilegios de los usuarios.
Como guinda al pastel, posee un fichero de log mucho más detallado que la información mostrada en el terminal, el cual está localizado en '/tmp/rkhunter.log'.
