27
Abr
Apoderandose de Windows Desde Adentro
Iniciare diciendo que esta noticia que me entere vía Kriptopolis, no me ha agradado mucho, pero que es necesario dar a conocer los alcances de esta nota.
Así que comencemos por saber que es Vbootkit, en esta pequeña traducción de una entrevista hecha a los autores de dicho software.
Así que comencemos por saber que es Vbootkit, en esta pequeña traducción de una entrevista hecha a los autores de dicho software.
Vbootkit es muy parecido a una puerta o acceso al kernel de Vista.
Un bootkit es un rootkit que es capaz de cargarse desde un sector de arranque (Master Boot Record, CD, PXE, disketts, etc.) y persiste en memoria todo el tiempo que dura la transición de modo protegido al arranque del SO. Es un tipo muy interesante de rootkit. Ya que todos los rootkits se instalan cuando el SO esta ejecutándose ya que usan las funciones del SO para cargarse (también requiere de los privilegios de Administrador para poder instalarse), pero los bootkits son diferentes, ya que usan el medio de arranque para atacar al SO, y después sobrevivir. Vbootkit es un bootkit específico para Windows Vista.
Este es un concepto totalmente en RAM. Por esto, bajo ninguna circunstancia hay necesidad de tocar el disco duro y dejar pruebas. Solo reinicia y el bootkit se desaparece como si nunca hubiera estado ahí.
Como trabaja Vbootkit?
Como un pequeño resumen tenemos: BIOS --> Vbootkit code (from CD,PXE etc.) --> MBR --> NT Boot sector --> Windows Boot manager --> Windows Loader --> Vista Kernel.
Justo después de que Vbootkit toma el control, este intercepta la interrupción 13, entonces hace una búsqueda por marcas del SO Vista. Después de detectar al Vista empieza a parcharlo, mientras se oculta del SO, (en pequeños pedacitos, en diferentes lugares de la memoria). Los parches incluyen el sobrepasar algunas protecciones como checksums, verificación de firmas digitales, etc., y toma algunas pasos para mantener el control, mientras la fase 2 del proceso de arranque continúa.
La fase 2 incluye el parcheo del kernel de Vista, así es como Vbootkit mantiene el control sobre el SO, hasta que el sistema se reinicie. Muchos esquemas de seguridad de Vista fueron analizados, como el famoso checksum del PE header (todo ejecutable de Windows contienen uno), la firma digital de archivos, entre otras.
¿Cómo se puede detener a Vbootkit una vez iniciado el sistema?
En las versiones actuales, se muestra una firma en la selección del SO. También hemos agregado una firma a Vbootkit dentro de la memoria del kernel, por lo tanto un volcado de memoria o un escaneo de la memoria del kernel podría encontrarlo.
¿Cómo podría modificarse para ocultarse tanto como sea posible?
Quitando todas las firmas. La invisibilidad y detección de en rootkits/bootkits es un juego continuo de estar modificando tus herramientas para vencer a las demás.
En pocas palabras se tiene al Vbootkit cargado en el kernel de vista.
Hasta aquí el fragmento de la entrevista.
Pero veamos que implica el hecho de que las protecciones de vista puedan ser derrotadas de esta manera.
La mayoría de los rootkits, basan su fuerza en que cada vez que se inicia el SO estos pueden esconder, tanto a ellos y a su carga útil (en este caso el malware en sí) y la mayoría de las herramientas Anti Rootkit se basan en este hecho, de alguna u otra forma todo rootkit deja una huella de que esta en la computadora comprometida. Sin importar si el rootkit es de modo kernel o de modo usuario, al momento de someter al SO a un examen del tipo forense, las huellas serán evidentes, ya que ningún rootkit tiene alguna utilidad cuando no está activo. Por eso el hecho de que este Bootkit pueda usarse sin la necesidad de dejar huellas, lo hace realmente peligroso y maligno. Veamos un escenario en forma de ejemplo.
Supongamos que te logras colar al edificio de la competencia, o digamos que tienes a alguien que tiene acceso a la oficina de gerencia, y que el día de hoy se hará el cambio de contraseñas de esa empresa. Con las nuevas protecciones de Vista sería casi imposible instalar un keyloger y esconder este sin el uso de alguna técnica de rootkit, pero tú tienes una copia funcional de este Vbootkit, y le dices que esconda tu keyloger, así como un Shell.
Bien lograste iniciar la maquina desde el CD ROM que contenía el Vbootkit, el personal de la compañía hace su cambio de contraseñas, y con la ayuda de tu keyloger, capturas esas susodichas contraseñas que te abrirá las puertas de la información confidencial de tu oponente. Ahora simplemente te conectas por medio del Shell que dejaste en la maquina, extraes el archivo que genero el keyloger y listo solo tienes que desinstalar el keyloger, y teclear el comando para reiniciar la computadora y listo no dejaste huellas detrás.
Ciencia ficción, el fruto de mi retorcida imaginación, tal vez pero recuerda que haya afuera hay un mundo que no conocemos y que por lo tanto del que no nos podemos defender, o por lo menos no por el momento.
Saludos
Pero veamos que implica el hecho de que las protecciones de vista puedan ser derrotadas de esta manera.
La mayoría de los rootkits, basan su fuerza en que cada vez que se inicia el SO estos pueden esconder, tanto a ellos y a su carga útil (en este caso el malware en sí) y la mayoría de las herramientas Anti Rootkit se basan en este hecho, de alguna u otra forma todo rootkit deja una huella de que esta en la computadora comprometida. Sin importar si el rootkit es de modo kernel o de modo usuario, al momento de someter al SO a un examen del tipo forense, las huellas serán evidentes, ya que ningún rootkit tiene alguna utilidad cuando no está activo. Por eso el hecho de que este Bootkit pueda usarse sin la necesidad de dejar huellas, lo hace realmente peligroso y maligno. Veamos un escenario en forma de ejemplo.
Supongamos que te logras colar al edificio de la competencia, o digamos que tienes a alguien que tiene acceso a la oficina de gerencia, y que el día de hoy se hará el cambio de contraseñas de esa empresa. Con las nuevas protecciones de Vista sería casi imposible instalar un keyloger y esconder este sin el uso de alguna técnica de rootkit, pero tú tienes una copia funcional de este Vbootkit, y le dices que esconda tu keyloger, así como un Shell.
Bien lograste iniciar la maquina desde el CD ROM que contenía el Vbootkit, el personal de la compañía hace su cambio de contraseñas, y con la ayuda de tu keyloger, capturas esas susodichas contraseñas que te abrirá las puertas de la información confidencial de tu oponente. Ahora simplemente te conectas por medio del Shell que dejaste en la maquina, extraes el archivo que genero el keyloger y listo solo tienes que desinstalar el keyloger, y teclear el comando para reiniciar la computadora y listo no dejaste huellas detrás.
Ciencia ficción, el fruto de mi retorcida imaginación, tal vez pero recuerda que haya afuera hay un mundo que no conocemos y que por lo tanto del que no nos podemos defender, o por lo menos no por el momento.
Saludos
Prismatico dijo:
Ya esta enlazado mixelandia en bloroll, esta muy didatico este blog, recomendable. salu2
jererere dijo:
si queres intercambiar links posteame en www.404notblog.com saludos