.

.

martes, 30 de agosto de 2016

Análisis de Rootkit en OS X con Rkhunter


 Cuando un Rootkit es instalado dentro de un sistema, en la mayoría de los casos este pasa a ser administrado y manejado por una mano invisible, de la cual ni si quiera será detectada su presencia.

 Un rootkit es un software, o mejor dicho un conjunto de herramientas, que normalmente está asociado a su utilización para fines maliciosos, ya que su objetivo y razón es la de ocultar la presencia de malware en el sistema y/o permitir el acceso a un equipo o sistema, al que no se podría acceder sin autorización de privilegios y utilizando sus propiedadades, se mantiene oculto (invisible) a ojos de los administradores, mientras corrompe el funcionamiento normal del propio sistema y de las aplicaciones que se encuentran en él, con el objetivo fundamental de ejecutar acciones remotas y/o conseguir substraer información del mismo.

El Rootkit tiene la capacidad de penetrar en el sistema e interceptar las funciones del mismo y modificarlas, ocultar procesos, archivos, registros, crear backdoors, además algunos rootkit se encargan por si mismos de instalar en el sistema sus propios drivers.
Puede llegar a un sistema de forma automatizada o por medio de un atacante que una vez accedido a un sistema o programa lo instala ahí.

El atacante accederá al sistema explotando vulnerabilidades y una vez instale en rootkit podrá tener un acceso privilegiado, administrando y modificando las características, incluyendo el software y mientras esto sucede podrá ocultar su existencia asegurando el éxito de la operación.



Detectar que un Rootkit es bastante complicado, ya que puede ser capaz desestabilizarlo y desestructurarlo y en el caso de detectarlo la eliminación es muy complicada, sobre todo en situaciones en que el Rootkit se encuentre instalado en el núcleo del sistema, donde la manera más eficaz y óptima de desacernos de él, sería la reinstalación del sistema operativo intentando borrar todo su rastro.

En esta entrada voy a mostrar una herramienta capaz de detectar rootkits y backdoors, mediante la comparación de hashes MD5 de algunos de los ficheros importantes del sistema, códigos sospechosos en el kernel, permisos incorrectos o defectuosos y realización de pruebas de análisis de detección.

Esta herramienta es: "Rkhunter".

Rkhunter está disponible para los sistemas operativos:
GNU/Linux, BSD, AIX, Mac OS X, SME, Solaris, y otros Sistemas operativos basados en Unix.
Para la entrada utilizaré Mac OS X.

Instalarlo en Mac es bastante sencillo, solo se debe de acceder al terminal y utilizar algún software gestor de paquetes para Mac OS, como puede ser Homebrew o Macports.

Instalar estas herramientas es bastante sencillo y aunque ya lo comentaré en alguna entrada futura, para los que las desconocen, os animo a informaros sobre ellas.
Para hacer la entrada, vamos a instalar por ejemplo Homebrew rápidamente ...





Este gestor de paquetes, en pocas palabras, lo que hace es ayudarnos a instalar paquetes de aplicaciones en Mac, de forma comoda por medio de un simple comando y descargando dichas aplicaciones de los repositorios con los que trabaja.

Una vez instalado Homebrew, vamos a pasar a instalar Rkhunter utilizando el sencillo siguiente comando.








Una vez hecho esto, como se puede observar en la imagen, Rkhunter a sido descargado e instalado en la ruta indicada.

Para ejecutar la herramienta solo queda lanzar el comando: rkhunter.
El terminal nos muestra las diferentes opciones que nos ofrece la herramienta.

















 Antes de empezar, actualizamos la base de datos de Rkhunter con el siguiente comando.

Una vez actualizado procederemos a comenzar a analizar el equipo o sistema.
El comando: rkhunter --check



En su análisis realiza pruebas de detección rootkits, algunos de ellos muy frecuentes o conocidos: beX2, Gaskit, T0rn, Trojanit Kit, OS X Rootkit, Shutdown, TBD, etc.

Rkhunter entre otras, realiza pruebas en los puertos abiertos del sistema, analiza y comprueba los permisos y privilegios de los usuarios.

Como guinda al pastel, posee un fichero de log mucho más detallado que la información mostrada en el terminal, el cual está localizado en '/tmp/rkhunter.log'.


lunes, 22 de agosto de 2016

Los peligros de Internet - Revealer Keylogger


Con esta entrada quiero empezar una serie, en la que trataré los diferentes peligros que podemos encontrar en internet y como pueden afectar al usuario que cada día navega por la red.

Hoy en concreto quiero ver o mostrar, la facilidad con la que se pueden conseguir herramientas que pueden volverse en nuestra contra, al ser de muy facil acceso para cualquiera que tenga un ordenador y conexión a internet.

Cualquier herramienta que pueda descargarse por internet, también podrá ser utilizada por casi cualquiera que lo deseé en mayor o menor medida, ya que al igual que se ha sido capaz de poner en el buscador una serie de terminos para llegar a esa herramienta, se podrá "aprender a usarla" escribiendo en el buscador tutoriales de la herramienta "x", lo cual ofrecerá un sinfín de videos, artículos y documentos sobre la misma.
Esto puede ser y es muy positivo cuando el fin de una persona concreta es aprender y ampliar sus horizontes, pero por desgracia siempre habrá individuos que lo utilizarán en beneficio propio y de sus objetivos.

En este artículo, en vez de una herramienta más complicada con la que un individuo externo pueda hacernos daño, voy a ser más simple, ya que por mucho que pensemos que alguién de fuera de nuestro entorno puede interesarse por nosotros.... muchas veces el enemigo puede estar más cerca de lo que pensamos (en nuestra propia casa, o nuestro compañero de departamente en el trabajo).

Todos hemos oído hablar de Keyloggers, pero en una definición técnica para quien no lo tenga claro:
"es un tipo de software o un dispositivo hardware específico que se encarga de registrar las pulsaciones que se realizan en el teclado, para posteriormente memorizarlas en un fichero o enviarlas a través de internet." Estás herramientas son un tipo de malware, que normalmente es utilizado por un individuo para robar las credenciales de otro/s, números de cuenta, contraseñas, información confidencial, etc.

Pues bien, vamos a ver que tan complicado es encontrar uno por internet y descargarlo.



































La cosa parece quedar clara cuando en la primera página de busqueda se ofrecen diferentes páginas de descarga, con diferentes Keylogger y algun tutorial de como utilizarlos.

Para mostrar lo que quiero en esta entrada, no he sido muy selecto, me he limitado a descargar uno de los primeros Keylogger que se ofrecen en descarga (como haría un usuario sin conocimiento previo, pero con una actitud maliciosa). Descargo Revealer Keylogger.

 Después de apenas 1 minuto, ya tengo el paquete de descarga en mi Windows y con un simple click comienzo el proceso de instalación en mi equipo.


En solo 5 minutos, he abierto el buscador, he iniciado la busqueda de un Keylogger, lo he descargado e instalado. Ahora tengo en mi equipo una herramienta capaz de:

- Grabar todo lo que se escribe en el teclado, incluyendo contraseñas, independientemente de la aplicación utilizada (Skype, Facebook, MSN, AOL, ICQ, AIM, GTalk, etc.).

- Hacer capturas de pantalla automáticas, ver todas las acciones realizadas en el ordenador.

- Ver el texto guardado desde otro ordenador, una tableta o un teléfono inteligente, con entrega por correo electrónico, FTP o LAN.

- Además es capaz de permanecer invisible a herramientas del sistema operativo en el que ha sido instalado.

(*)ACLARACIÓN: La opción de invisibilidad solo está disponible en la versión de pago (Aunque como ya sabemos siempre hay formas de conseguir la versión pro sin pagar).


Como vemos en la captura de pantalla, el iniciar el funcionamiento del Keylogger, es tan facil como pulsar inicio y este empezará a capturar. Cerramos la App y dejamos que haga su trabajo.

Para probar el funcionamiento de esta herramienta, simplemente voy a proceder a entrar en mi cuenta de Gmail y escribir un mail cualquiera.


Hecho esto y enviado el email, voy a Revealer Keylogger y detengo la captura.
Vamos a ver lo que ha capturado.

Y sorpresa!!!





























El Keylogger ha capturado cada una de las pulsaciones que hemos realizado.

De esta forma vemos lo facil que sería que alguien que tiene acceso a nuestro equipo personal, o del trabajo, si no lo tenemos debidamente protegido, sería capaz de capturar cualquier cosa que escribiesemos en él (Contraseñas, información privada, cuentas de usuarios, cuentas bancarias, etc.)