Notas Soltas - Desmascare os rootkits, malwares espiões que se escondem no sistema
Ferramenta é utilizada por crackers para manter códigos maliciosos ocultos no sistema operacional e se proteger no anonimato.
Crianças adoram brincar de esconder. A mesma atitude é inerente aos rootkits, projectados para permanecerem camuflados em um computador.
Os rootkits são um conjunto de programas utilizados por crackers para ocultar arquivos maliciosos. Tecnicamente, é possível afirmar que o rootkit é uma evolução dos cavalos-de-tróia, malwares desenvolvidos para ganhar acesso de um computador.
Contudo, a característica principal desta ferramenta é o facto de serem capazes de fugirem da identificação. Para tal, ela se instala principalmente no modo kernel (o núcleo do sistema operacional), onde encontra maior capacidade de se esconder.
“Mais próximo ao sistema operacional, ele está mais protegido”, explica o engenheiro de sistemas da Symantec, André Carrareto.
Os rootkits também podem se instalar no modo usuário, apesar deste comportamento ser mais incomum, pois este local o torna mais frágil. Ali, ele pode interceptar chamadas da API (interface para programação de aplicativos) e modifica seus registros.
“O gerenciador de tarefas do Windows, por exemplo, lista os processos e permite que algo estranho seja identificado. O rootkit não permite que esta listagem mostre suas actividades”, diz Carrareto.
Os antivírus, de um modo geral, não rastreiam estes esconderijos, o que permite que, além de se tornar invisível, o rootkit instale os códigos maliciosos que desejar e manipular uma rede da forma que melhor lhe convir.
Da raiz
Do inglês “root” (raiz), o termo deixa clara a actuação deste malware, que alcança a raiz de um computador – local onde possui altos privilégios.
Originalmente, o termo se referia a um conjunto de ferramentas (daí o kit) do sistema operacional Unix. “Como todo malware, ele foi criado para facilitar a vida das pessoas. Ele era utilizado para auxiliar os administradores do sistema Unix a gerenciarem a máquina”, explica Carrareto.
A fama desta ferramenta adquiriu proporções globais quando a gravadora Sony/BMG integrou o software XPC, que actua de forma similar a um rootkit, aos seus CDs, em 2005.
O “rootkit-DRM” actuava para impedir cópias do álbum, até que um especialista descobriu que, além desta função, ele tornava os micros onde era instalada, vulneráveis a invasões.
Um semana após a eclosão do escândalo, que custou 1,5 milhão de dólares aos cofres da gravadora, foi detectado o primeiro malware que usava o rootkit integrado aos CDs da Sony/BMG para se camuflar no PC da vítima.
Perigo invisível
O objectivo - e peculiaridade - do rootkit é se manter camuflado. Esta ferramenta pode ser dividida em diversos tipos, variáveis de acordo com o nível de actuação no sistema: firmware, applicação, kernel e assim por diante.
Sozinho, o rootkit não faz nada. “Seu objectivo é esconder a acção de actividade maliciosa no PC ou servidor”, explica o engenheiro de suporte da BitDefender, Luciano Goulart.
Isto permite que um backdoor, por exemplo, que abre a máquina para acesso remoto do invasor, não seja identificado quando as portas de rede são examinadas. Inclusive, “com a característica de camuflagem, o poder de fraude aumenta potencialmente”, alerta Carrareto.
Quantidade de esconderijos
Só nos dois primeiros meses deste ano, a PandaLabs detectou 25% do total de rootkits encontrados em 2006.
Dos cinco rootkits que mais actuaram no último semestre, três deles o faziam no modo kernel, segundo a PandLab. Neste período, os crackers têm desenvolvido técnicas cada vez mais complexas e difíceis de serem detectadas.
No primeiro trimestre de 2007, a McAfee identificou um crescimento de 15% de rootkits em comparação ao mesmo período do ano anterior.
O número de rootkits, desde sua popularização, têm crescido em alta velocidade. Segundo a McAfee, entre 2005 e 2006, o aumento de ataques que usavam rootkits cresceu 700%.
A Microsoft afirmou, há dois anos, que mais de 20% de todos os malwares removidos do Windows XP com Service Pack 2 eram rootkits.
Carona na vulnerabilidade
Enquanto os malwares, como vírus e worms, atacam a máquina e são seu próprio meio de transporte para chegar a um computador, esta ferramenta pega carona em um arquivo malicioso para aceder a um sistema.
“Muitas vezes o usuário, sem perceber, instala um código malicioso que é programado para inserir o rootkit no micro pela internet”, diz Carrareto.
Também é possível que, junto a técnicas de phishing, por exemplo, o usuário possa instalar arquivos executáveis e, dessa forma, se infecte com o rootkit.
O programa é inteligente e pode possuir comandos altamente sofisticados. O Backdoor.Rustock é um exemplo deste avanço.
“Ele inclui técnicas designadas para driblar a maioria dos softwares anti-rootkit, e pode até mudar seu comportamento para ficar cada vez mais invisível caso perceba que uma ferramenta de detecção está rodando no sistema”, afirma Goulart.
Encontrar e excluir o visitante oculto
Para que os rootkits não encontrem brechas pelas quais possam se infiltrar no computador, a primeira coisa a ser feita é manter em dia as actualizações do sistema.
“O usuário precisa manter as correcções do sistema operacional em dia, mas ele não pode se proteger sozinho”, explica Carrareto.
Portanto, também é preciso manter actualizadas as ferramentas de protecção, como antivírus e firewalls.
Actualmente, algumas tecnologias têm como alvo principal a detecção de rootkits e conseguem removê-los. Contudo, se isto não é possível, é necessário reinstalar o sistema operacional.
E como identificar um rootkit?
“A ferramenta irá identificar um malware, e o usuário irá buscar informações no fabricante do antivírus e saber se este possui um comportamento característico a um rootkit”, indica Carrareto.
“Os mais difíceis de detectar são os que gerenciam ‘ganchos’ no kernel, mas não escrevem nada no disco, residindo somente em memória”, revela Goulart.
Estes são grandes ameaças a servidores, onde a máquina só é reiniciada em situações raras.
Protecção gratuita
O usuário conta com alguns programas gratuitos disponíveis na rede, específicos para identificar rootkits.
Um deles é o AVG Anti-Rootkit, da Grisoft, que pode ser baixado no site da empresa.
A Sophos também tem disponível para download sua ferramenta gratuita de identificação e remoção desta ameaça.
Crianças adoram brincar de esconder. A mesma atitude é inerente aos rootkits, projectados para permanecerem camuflados em um computador.
Os rootkits são um conjunto de programas utilizados por crackers para ocultar arquivos maliciosos. Tecnicamente, é possível afirmar que o rootkit é uma evolução dos cavalos-de-tróia, malwares desenvolvidos para ganhar acesso de um computador.
Contudo, a característica principal desta ferramenta é o facto de serem capazes de fugirem da identificação. Para tal, ela se instala principalmente no modo kernel (o núcleo do sistema operacional), onde encontra maior capacidade de se esconder.
“Mais próximo ao sistema operacional, ele está mais protegido”, explica o engenheiro de sistemas da Symantec, André Carrareto.
Os rootkits também podem se instalar no modo usuário, apesar deste comportamento ser mais incomum, pois este local o torna mais frágil. Ali, ele pode interceptar chamadas da API (interface para programação de aplicativos) e modifica seus registros.
“O gerenciador de tarefas do Windows, por exemplo, lista os processos e permite que algo estranho seja identificado. O rootkit não permite que esta listagem mostre suas actividades”, diz Carrareto.
Os antivírus, de um modo geral, não rastreiam estes esconderijos, o que permite que, além de se tornar invisível, o rootkit instale os códigos maliciosos que desejar e manipular uma rede da forma que melhor lhe convir.
Da raiz
Do inglês “root” (raiz), o termo deixa clara a actuação deste malware, que alcança a raiz de um computador – local onde possui altos privilégios.
Originalmente, o termo se referia a um conjunto de ferramentas (daí o kit) do sistema operacional Unix. “Como todo malware, ele foi criado para facilitar a vida das pessoas. Ele era utilizado para auxiliar os administradores do sistema Unix a gerenciarem a máquina”, explica Carrareto.
A fama desta ferramenta adquiriu proporções globais quando a gravadora Sony/BMG integrou o software XPC, que actua de forma similar a um rootkit, aos seus CDs, em 2005.
O “rootkit-DRM” actuava para impedir cópias do álbum, até que um especialista descobriu que, além desta função, ele tornava os micros onde era instalada, vulneráveis a invasões.
Um semana após a eclosão do escândalo, que custou 1,5 milhão de dólares aos cofres da gravadora, foi detectado o primeiro malware que usava o rootkit integrado aos CDs da Sony/BMG para se camuflar no PC da vítima.
Perigo invisível
O objectivo - e peculiaridade - do rootkit é se manter camuflado. Esta ferramenta pode ser dividida em diversos tipos, variáveis de acordo com o nível de actuação no sistema: firmware, applicação, kernel e assim por diante.
Sozinho, o rootkit não faz nada. “Seu objectivo é esconder a acção de actividade maliciosa no PC ou servidor”, explica o engenheiro de suporte da BitDefender, Luciano Goulart.
Isto permite que um backdoor, por exemplo, que abre a máquina para acesso remoto do invasor, não seja identificado quando as portas de rede são examinadas. Inclusive, “com a característica de camuflagem, o poder de fraude aumenta potencialmente”, alerta Carrareto.
Quantidade de esconderijos
Só nos dois primeiros meses deste ano, a PandaLabs detectou 25% do total de rootkits encontrados em 2006.
Dos cinco rootkits que mais actuaram no último semestre, três deles o faziam no modo kernel, segundo a PandLab. Neste período, os crackers têm desenvolvido técnicas cada vez mais complexas e difíceis de serem detectadas.
No primeiro trimestre de 2007, a McAfee identificou um crescimento de 15% de rootkits em comparação ao mesmo período do ano anterior.
O número de rootkits, desde sua popularização, têm crescido em alta velocidade. Segundo a McAfee, entre 2005 e 2006, o aumento de ataques que usavam rootkits cresceu 700%.
A Microsoft afirmou, há dois anos, que mais de 20% de todos os malwares removidos do Windows XP com Service Pack 2 eram rootkits.
Carona na vulnerabilidade
Enquanto os malwares, como vírus e worms, atacam a máquina e são seu próprio meio de transporte para chegar a um computador, esta ferramenta pega carona em um arquivo malicioso para aceder a um sistema.
“Muitas vezes o usuário, sem perceber, instala um código malicioso que é programado para inserir o rootkit no micro pela internet”, diz Carrareto.
Também é possível que, junto a técnicas de phishing, por exemplo, o usuário possa instalar arquivos executáveis e, dessa forma, se infecte com o rootkit.
O programa é inteligente e pode possuir comandos altamente sofisticados. O Backdoor.Rustock é um exemplo deste avanço.
“Ele inclui técnicas designadas para driblar a maioria dos softwares anti-rootkit, e pode até mudar seu comportamento para ficar cada vez mais invisível caso perceba que uma ferramenta de detecção está rodando no sistema”, afirma Goulart.
Encontrar e excluir o visitante oculto
Para que os rootkits não encontrem brechas pelas quais possam se infiltrar no computador, a primeira coisa a ser feita é manter em dia as actualizações do sistema.
“O usuário precisa manter as correcções do sistema operacional em dia, mas ele não pode se proteger sozinho”, explica Carrareto.
Portanto, também é preciso manter actualizadas as ferramentas de protecção, como antivírus e firewalls.
Actualmente, algumas tecnologias têm como alvo principal a detecção de rootkits e conseguem removê-los. Contudo, se isto não é possível, é necessário reinstalar o sistema operacional.
E como identificar um rootkit?
“A ferramenta irá identificar um malware, e o usuário irá buscar informações no fabricante do antivírus e saber se este possui um comportamento característico a um rootkit”, indica Carrareto.
“Os mais difíceis de detectar são os que gerenciam ‘ganchos’ no kernel, mas não escrevem nada no disco, residindo somente em memória”, revela Goulart.
Estes são grandes ameaças a servidores, onde a máquina só é reiniciada em situações raras.
Protecção gratuita
O usuário conta com alguns programas gratuitos disponíveis na rede, específicos para identificar rootkits.
Um deles é o AVG Anti-Rootkit, da Grisoft, que pode ser baixado no site da empresa.
A Sophos também tem disponível para download sua ferramenta gratuita de identificação e remoção desta ameaça.
Etiquetas: Antivírus, AVG, Firewall, Notas Soltas, Rootkits, Sophos
posted by João Dias de Carvalho at
19:33
0 Comments:
Enviar um comentário
<< Home