O que é um rootkit e como evitá-lo?

[fabricioroot]

Olá pessoal, antes de iniciar sobre o assunto proposto por esse post, quero falar um pouquinho sobre alguns dos diferentes tipos de códigos maliciosos:

• Trojan ou Cavalo de Tróia:pra quem conhece a história sobre o tal cavalo de tróia construído de madeira e oco no seu interior que abrigou soldados gregos na guerra de Tróia, a idéia deste tipo de código malicioso é semelhante. Além de fazer o que deveria, este tipo faz algo que pode prejudicar o usuário sem que ele saiba. Por exemplo: um arquivo de vídeo que além de conter os dados para a sua reprodução, abre portas de comunicação com internet.
• Vírus:este tipo é muito semelhante ao anterior, pois ele também executa ação não "autorizada" pelo usuário. A principal diferença está no fato que um vírus infecta outros arquivos locais para fazer a mesma ou outra atividade ilícita.
• Worms ou Vermes:este é um tipo especial de vírus. Além de contaminar arquivos locais, eles têm o poder de contaminar máquinas remotas explorando falhas de aplicativos, serviços ou protocolos de comunicação.
• Spywares: consiste em um programa de computador que recolhe informações sobre o usuário, seus costumes na internet, nomes de usuário, senhas, etc e as transmite para um outro computador.
  

Vale destacar que grande parte dos programas de código malicioso são híbridos, ou seja, eles possuem características determinísticas de cada tipo.

Rootkits

A maioria dos vírus, principalmente os mais antigos, podem ser notados facilmente pelo usuário. Programas param de funcionar, arquivos aumentam de tamanho, janelas estranhas são exibidas na tela, entre diversos sintomas que caracterizam uma infecção. Os rootkits, por outro lado, possuem como objetivo principal, passar completamente despercebido pelo usuário.

A principal intenção dele é se camuflar, impedindo que antivírus comuns não o encontre. Isto é possível pois estas aplicações têm a capacidade de interceptar as solicitações feitas ao sistema operacional, podendo alterar o seu resultado.

O que é um rootkit?
Um rootkit é um cavalo de tróia formado por um conjunto de programas que tentam se esconder do usuário e de softwares de segurança usando programação avançada.
Rootkits ocultam a sua presença no sistema, escondendo suas chaves no registro, os seus processos no Gerenciador de Tarefas e conexões de rede, além de retornar erros do tipo “arquivo inexistente” ao tentar acessar os seus arquivos.
No Windows, rootkits funcionam por meio da “interceptação de API” — por exemplo, quando um programa pede para o Windows listar uma pasta o rootkit intercepta a chamada e “filtra” os resultados da listagem da pasta, removendo qualquer referência aos seus arquivos.

A origem do nome
Os rootkits possuem esse nome por serem "kits" de programas para a plataforma Linux responsáveis por manter o acesso total ao sistema previamente comprometido, agindo como backdoor. Como "root" é o usuário com o controle total do computador nas plataformas Unix, originou-se o nome "rootkit" para denominar este conjunto de aplicativos.
É importante ficar claro que o nome rootkit não indica que as ferramentas que o compõe são usadas para obter acesso privilegiado (root ou Administrador) em um computador, mas sim para manter o acesso.

Funcionamento
Detectores de rootkit, como o RootKitRevealer "pedem" para o Windows a lista de todos os arquivos no disco rígido (usando a API, que é interceptada) e depois fazem a listagem eles mesmos, usando uma programação de baixo nível sem usar a ajuda do Windows.

O resultado da listagem do Windows (que foi filtrada pelo rootkit) é comparado com a da listagem de baixo nível (que o rootkit não interceptou). As diferenças possivelmente são os arquivos do rootkit.

A maioria dos rootkits, felizmente, não utiliza técnicas tão avançadas e podem ser facilmente localizados por meio desses detectores.


Como a maioria dos antivírus ainda não possuem uma função para detectar rootkits integradas à ferramenta principal e a grande maioria dos usuários ainda não adotaram detectores de rootkit, a melhor postura a se adotar para evitar problemas com eles é a prevenção.

Rootkits são instalados por páginas maliciosas na Web e por worms que exploram falhas no Windows. Por isso é fundamental manter o sistema atualizado. Mas, mesmo assim os sistemas atualizados ainda têm problemas de segurança: a Microsoft divulgou estatísticas de sua ferramenta de remoção de malware, que é executada automaticamente por todos aqueles que rodam o Windows Update ou as atualizações automáticas, e revelou que 20% das pragas encontradas no Windows XP SP2 são rootkits.




Um rootkit pode fornecer programas com a mais variadas funcionalidades, por exemplo:

• programas para remoção de evidências em arquivos de log;
• backdoors para garantir acessos futuros à máquina invadida;
• sniffers para capturar informações de rede onde o computador invadido está localizado;
• scanners para mapear potenciais vulnerabilidades em outros computadores;
• keyloggers para capturar e enviar nomes de usuário e senhas para outro computador.

Como evitá-los?
Existem programas capazes de detectar a presença de rootkits na máquina, mas não quer dizer que eles são capazes de detectar todos. Alguns desse programas podem, inclusive, serem adquiridos gratuitamente na internet. Mas a melhor solução mesmo é a prevenção.
Além de adquirir um software de detecção, existem regras para evitar a infecção por rootkit que, geralmente, são as mesmas usadas para evitar a infecção de programas maliciosos em geral, são elas:

• Ter instalado na máquina softwares de segurança (antivírus, anti-spyware, anti-rootkit,...);
• Manter os softwares aplicativos, utilitários e o sistema operacional atualizados;
• Ter maior cuidado ao baixar arquivos de redes P2P, é recomendável que baixe arquivos somente de sites confiáveis;
• Evitar o download de cracks;
• Ter instalado um firewall pessoal;
• Se possível executar o sistema com privilégios limitados;

Ferramentas de detecção específicas

• RootkitRevealer
• F-Secure Blacklight
• UnHackMe
• Rootkit Hook Analyser
• AVG Anti-Rootkit
• Sophos Anti-Rootkit

Referências:

• Uchôa, Joaquim Q. Segurança Computacional. Lavras: UFLA/FAEPE.
• Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil - CERT.br -- Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil
• Linhas Defensiva - UOL - Rootkits: A prevenção é a solução | Linha Defensiva
• Anti Rootkit Software, News, Articles and Forums - Anti Rootkit Software, News, Articles and Forums

[andersoneduardo]

bom post cara!

assunto pouco difundido aki no under!

:P

[galahad]

Muito bom!

Parabéns pela iniciativa! Coloca lá no Wiki também!