Annunci
RSS

Rootkit

21 Lug

 

I rootkit sono pacchetti software installati su sistemi compromessi
per coprire le tracce della violazione e mantenere il controllo,
possibilmente a distanza.

Funzionalit` di un rootkit :

1. Mantenere l’accesso
2. Attaccare altri siti
3. Eliminare le tracce

Mantenere l’accesso: le backdoor

Il mantenimento dell’accesso avviene quasi sempre installando delle
backdoor di vario tipo:
`
• shell in ascolto su una porta TCP “alta”. E una tecnica molto
semplice il cui vantaggio ` di non lasciare traccia nel log di
sistema. Una variante ` installare una versione “troiana” di un
daemon che fornisca una shell se contattato su una porta diversa
da quella di default.
Un’analisi locale con netstat e/o lsof permette di inviduare
abbastanza facilmente questo tipo di backdoor.
netstat -na
lsof -i
Un’analisi remota pu` essere effettuata con nmap.

• Un semplice “miglioramento” della tecnica precedente si ottiene
usando ssh su una porta diversa da quella di default (22).
In questo modo il traffico ` criptato rendendo pi` complessa la
rilevazione da parte di un Intrusion Detection System.
La tecnica di rilevazione ` simile alla precedente.

• UDP listener: i servizi UDP sono molto pi` complessi da
rilevare. Non esistono protocolli standard per l’accesso remoto
basati su UDP ma ` possibile implementare un supporto
minimale con un sforzo molto ridotto.
• ICMP ‘‘telnet’’: ` possibile “incapsulare” i comandi e le
risposte di una sessione telnet nel payload di pacchetti ICMP
(vedi il tool Loki). Questo tipo di backdoor non ` visibile con
netstat o nmap. Il traffico ICMP, inoltre, ` in genere consentito
dalla maggior parte dei firewall.
Una possibilit` di rilevazione ` l’analisi del payload dei pacchetti ICMP

• CGI shell: permettono l’esecuzione di comandi con i privilegi
dell’utente nobody o httpd.
L’output compare nel browser dell’attaccante.
• Reverse shell/telnet: Una backdoor che apre una connessione
DA una macchina vittima AD una macchina dell’attaccante,
non richiede nessuna porta in ascolto e normalmente un firewall `
piu` “permissivo” in uscita.
La connessione pu` essere cifrata in vari modi (cryptcat,stunnel,…).
• Un ulteriore raffinamento ` possibile con una reverse http shell.
In questo caso l’http shell “imita” una connessione da un browser
verso un web server esterno. La connessione appare
perfettamente legale anche ai proxy server. La backdoor puo essereattivata o con speciali pacchetti o, in maniera ancora piuinvisibile, da un timer.

• No-listener backdoor (basate su sniffer). La backdoor non apre
una porta, ma inizia ad intercettare il traffico di rete. Quando
riceve uno specifico pacchetto (non indirizzato alla macchina con
la backdoor), esegue un’azione ed invia una risposta. La risposta
` inviata usando un indirizzo sorgente IP “fasullo” in modo che
la comunicazione non possa essere tracciata all’indietro
(a meno di non analizzare il traffico a livello 2).
Questo tipo di backdoor ` estremamente difficile da individuare
ed inizia a comparire nei rootkit pi` recenti.

`
E interessante notare come i rootkit pi` avanzati cerchino spesso di
coprire le “falle di sicurezza” trovate in un sistema per impedire ad
altri attaccanti di prendere a loro volta il controllo.

Annunci
 
Lascia un commento

Pubblicato da su luglio 21, 2012 in System Analysis

 

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

 
%d blogger hanno fatto clic su Mi Piace per questo: