10 anos de rootkits. Nelson Murilo

Documentos relacionados
Segurança da Informação

Torne-se um Sysadmin Linux. Prof. Juliano Ramos

SISTEMAS DE ARQUIVOS E DIRETÓRIOS DO LINUX. Prof. Gleison Batista de Sousa

Códigos Maliciosos. Prof. Paulo Najar

Sistemas Operacionais Estrutura do Sistema Operacional. Arquiteturas do Kernel

Backdoors x Firewalls de Aplicação Praticando em Kernel do Linux

PIkit : A New Kernel-Independent Processor-Interconnect Rootkit

Programação Aplicada a Redes de Computadores Shell Script

Estrutura dos Sistemas Operacionais. Adão de Melo Neto

Tratamento de Incidentes. em Função de alguns Ataques Atuais na Internet-BR

Detecção de Intrusão. Intrusão. Intruso. É o processo pelo qual algo tenta violar uma sistema.

TECNOLOGIA DA INFORMAÇÃO

Segurança Corporativa utilizando Sistema de Detecção de Intrusão (IDS)

INTERNET E SEGURANÇA DOS DADOS. Introdução a Computação e Engenharia de Software. Profa. Cynthia Pinheiro

Programação para Servidores. Cassio Diego

Apresentação, Metodologia. NBSO NIC Br Security Office

Técnico Subsequente em Redes de Computadores Introdução a Sistemas Abertos (ISA)

Serviço que permite acesso a documentos multimídia. As chamadas páginas da Web, os sites.


Programação para Servidores. Cassio Diego

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

Sistemas Operacionais. Laboratório 1 (Ambiente de Aprendizado)

Administração de Sistemas Operacionais

PROJETO INTERDISCIPLINAR I

Rootkits. Segurança em Sistemas Informáticos. 16 maio, 2017

Um Modelo Alternativo Baseado em Honeynet para Identificação e Classificação de Atacantes. Alexandre Pinaffi Andrucioli

Introdução ao Sistema UNIX

PROVA 03/07 Segunda-feira (semana que vem)

Aula 11 - Enjaulamento de SO

Conhecendo o NetBSD. Alan Silva <jumpi@netbsd.com.br> NetBSD-BR

Sistemas de Detecção de Intrusão

Introdução ao Sistema UNIX

Estrutura do Sistema Operacional

Comandos de Verificação. Alberto Felipe Friderichs Barros

Apostila 4. Ameaças e Contramedidas de Segurança no Host

Introdução. Introdução aos Sistemas Operacionais Volnys Bernal. Sumário. Introdução aos Sistemas Operacionais. Sobre esta apresentação

Inicialmente as redes passaram a ser utilizadas principalmente para o compartilhamento de periféricos, principalmente discos rígidos.

Moisés Souto docente.ifrn.edu.br/moisessouto

Julho/2004. João Bosco M. Sobral

Introdução ao Sistema UNIX

Códigos Maliciosos. <Nome> <Instituição> < >

AppArmor. Bruno Vieira de Sousa Érika Demachki Thiago Vieira de Sousa

Este curso pretende dotar os participantes dos conhecimentos e conceitos básicos envolvidos na operação dos sistemas operativos Linux (GNU/Linux).

PROVA BANCO DO NORDESTE ANALISTA BANCÁRIO 1 QUESTÕES DE INFORMÁTICA

Plano de instalação, recuperação e validação

de Redes de Computadores Linux

Sistemas Operacionais II. Prof. Gleison Batista de Sousa Aula 01

DoS, DDoS & Botnets. Alunos: Lucas Gomes, Marcos Seefelder, Vinicius Campos Professor: Otto Carlos Muniz Bandeira Duarte

Instalação e Configuração de Servidores Linux Server Partições e Sist. de Arquivos. Prof. Alex Furtunato

Sistemas Operacionais II. Linux - Introdução

Administração de sistemas Linux. Estrutura de diretórios Linux

Arquitetura de um sistema integrado de defesa cibernética para detecção. de botnets

Ransomware. Diretoria de Tecnologia da Informação Ifes

DESCRIÇÃO E JUSTIFICATIVAS TECNICAS SOBRE A INFLUÊNCIA DO SISTEMA OPERACIONAL NA SEGURANÇA DOS SERVIÇOS IPS

gnu/linux para noobs Daniela

Objetivos Instalação Gerência de Pacotes UNIX Shell. Curso UNIX. Matheus Braun Magrin Felipe dos Santos Silveira

Introdução à Informática

Introdução: UNIX: LINUX:

Analista de Sistemas

Administração Central Cetec Capacitações Capacitação Sistema Operacional Linux Semana III

Estrutura dos Sistemas Operacionais. Adão de Melo Neto

Segurança Informática em Redes e Sistemas

Sistemas Operacionais e Introdução à Programação. Módulo 1 Sistemas Operacionais

Forense computacional em Linux for dummies

NOÇÕES DE INFORMÁTICA. Segurança da Informação Pragas Virtuais Parte 1 Prof. Flávio Lima

UFRJ IM - DCC. Departamento de Ciência da Computação. Sistemas Operacionais II. 25/10/2016 Profª Valeria Menezes Bastos 1

Informática. Aplicativos de Segurança. Professor Márcio Hunecke.

HoneyPot e HoneyNet. Reginaldo Campos Segurança em Redes de Computadores

Introdução à Programação de Computadores

MANUAL DE INSTALAÇÃO SISTEMA DE GERÊNCIA CONSCIUS

Sistemas Operacionais

A instalação e configuração do módulo ampère com AnyConnect 4.x e ampère Habilitador

Soluções em tecnologia da informação que viabilizam implementar uma arquitetura computacional escalável, sólida e confiável em nuvem distribuída.

INTRODUÇÃO. Sistemas Operacionais. Vinícius Pádua

Introdução aos Sistemas Operacionais

Guia de Segurança do Oracle Hardware Management Pack para Oracle Solaris 11.3

PERÍCIA FORENSE COMPUTACIONAL EM SISTEMAS ALTERADOS POR

Sistemas Operacionais II. Prof. Gleison Batista de Sousa Aula 01

Informática Instrumental

Configurador do JBOSS. TOTVS Datasul 11. Alerta

Aula 2 Malwares. Prof. Mayk Choji. Técnicas de Segurança em Redes. UniSALESIANO Araçatuba

OpenWrt: modelagem do

GoboLinux do caos ao absurdo. Hisham H. Muhammad André Detsch

Informática básica SOFTWARE.

Contatos do Professor Apresentação do Conteúdo Datas das Avaliações Referências Conceitos Básicos Arquivos de Configuração de Ambiente Regras a

INTRODUÇÃO À TECNOLOGIA DA INFORMAÇÃO ESTRUTURA DE UM SISTEMA OPERACIONAL PROFESSOR CARLOS MUNIZ

Introdução ao Linux Prof. Pedro Filho

O Linux Possui varias características que diferenciam dos outros sistemas operacionais e que aproximam do UNIX, sendo um dos motivos da sua escolha

CLUSTER DE ALTA DISPONIBILIDADE EM UM SISTEMA DE GESTÃO HOSPITALAR

O GUIA RÁPIDO SOBRE SERVIDOR WEB 4 PASSOS PARA CONFIGURAÇÃO DO SEU PRÓPRIO SERVIDOR WEB COM APACHE

Informática I. Aula Aula 19-20/06/06 1

Uma poderosa ferramenta de monitoramento. Madson Santos - madson@pop-pi.rnp.br Técnico de Operação e Manutenção do PoP-PI/RNP

Vírus de Computador. Operação de Computadores e Sistemas

Segurança Informática e nas Organizações. Guiões das Aulas Práticas

Introdução ao uso do Linux (parte 2)

Ransomware. Ricardo L. Ricardo Gestor de T.I

Sistemas Operacionais. Introdução a Sistemas Operacionais

Transcrição:

10 anos de rootkits Nelson Murilo <nelson@pangeia.com.br>

Rootkit Definição Código ou conjunto de códigos usados, após uma invasão, para ocultar a presença do invasor na máquina da vítima

Rootkit histórico 1989 Publicação na Phrack Magazine de códigos para esconder a presença de invasores 1994 Rootkits são mencionados em alertas do CERT 1995 Pacote denominado RootKit torna se popular entre invasores 1997 Referências a LKM maliciosos Criação do

Rootkit 1ª geração: Sistemas alvo SunOS e Linux Substituição de comandos básicos ls, ps, login, find, etc. Retirada das entradas do invasor do wtmp Uso de arquivos de configuração

Rootkit 2ª geração: Sistemas alvo SunOS, Linux, *BSD e Mac OS X Inclusão de comandos próprios backdoors, ataques a terceiros (DoS, enumeração, varredura, exploração) Manipulação do inetd ou xinit binário e arquivos de configuração

Rootkit 3ª geração: 1ª e 2ª geração Uso de LKMs maliciosos Propagação via Worms

Rootkit Características gerais Código fonte geralmente disponível Usualmente roda com opções default Objetivos Ataques a terceiros Bots de IRC Armazenamento de arquivos

Motivações: Em 1997 diversos servidores analisados apresentavam os mesmos sinais de invasão Então os mesmo comandos eram constantemente repetidos E então o processo foi sendo automatizado

Premissas para desenvolvimento: Fácil de instalar e utilizar De fácil entendimento p/ facilitar contribuições Menor número de dependencias possível Alta portabilidade Escrito em linguagens de fácil portabilidade Posix Shell C Ansi

LEMBRETE roda em userspace

chkrootkit ls ps who KERNEL Hardware

O que é Verifica localmente sinais de rootkit instalado Roda em tempo real Assim como a maior parte dos HIDS Roda em modo port mortem Uso em forense computacional

verificações Módulos de kernel maliciosos Binários comprometidos Arquivos e diretórios suspeitos Portas e serviços suspeitos Processos suspeitos

Verificações Processos portas suspeitas já conhecidas processo associado a um tty, mas não presente no arquivo wtmp Dono e grupo diferentes do esperado para um determinado processo

Verificações Binários Assinaturas de rootkits conhecidos Existência de executáveis ou permissão não esperada Dono do programa que está rodando (limitado ao inetd.conf)

Verificação LKM Limitado ao Linux e FreeBSD (<6.x) Examina /dev/kmem Compara saída do ps e as entradas em /proc (chkproc.c) Discrepância entre o contador de links e o número de diretórios visíveis (chkdirs.c) Verifica serviços e portas suspeitas

Uso em tempo real Vantagens Pode verificar programas em uso Pode verificar portas e servidos ativos Pode verificar alguns LKMs em ação

Uso em tempo real Principal desvantagem Alguns LKMs e códigos maliciosos em área de kernel podem passar desapercebidos

Utilização em modo post morten Vantagem Detecta mais facilmente LKMs e códigos maciliosos que rodam em área de kernel Desvantagem Naturalmente são perdidas as informações sobre processos e conexões ativas

Versão atual (0.47) detecta: 42 tipos de Rootkits e variações 13 Worms 5 LKM maliciosos

Versão 0.47 $ wc -l chkrootkit *.c 2684 chkrootkit 206 check_wtmpx.c 258 chkdirs.c 292 chklastlog.c 370 chkproc.c 210 chkutmp.c 96 chkwtmp.c 373 ifpromisc.c 115 strings.c 4604 total

Nelson Murilo <nelson@pangeia.com.br>

O que está por vir? Manter atualização em relação à evolução dos sistemas e dos ataques Porte para outros sistemas baseados em Unix (AIX, por exemplo) Reformulação do projeto (baseado em arquivos de configuração) Estudo de novos ambientes (PDA, celular?)

em ação!

10 anos de rootkits http://www.chkrootkit.org Nelson Murilo <nelson@pangeia.com.br>

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback