Detectando Rootkits en OS-X

Conociendo lo desconocido – Detección de rootkits bajo OS X

Un rootkit es un software malicioso que tiene la avanzada capacidad de ocultarse en un sistema infectado. Esto generalmente se hace “enganchando” o “desviando” llamadas a funciones del sistema. Por ejemplo, un rootkit puede ser utilizado para ocultar archivos a la vista del usuario “enganchando” las llamadas a funciones del sistema responsables de listar el contenido de un directorio. De este modo los directorios y archivos, permanecen ocultos a la vista del usuario y del sistema. Los rootkits se utilizan con frecuencia en combinación con otros tipos de malware, que se esconden de los usuarios y de los productos de seguridad. El número de familias de malware que tiene capacidades de rootkit diseñados para Microsoft Windows ya pasan del centenar.

Pensamos que podría haber rootkits dirigidos a la plataforma Apple OS X , pero actualmente tenemos poco visibilidad para ese tipo de amenazas en esta plataforma. Sabemos que no sabemos. También sabemos que varios sitios web e incluso libros de bolsillo [1] , [2] Tienen documentado cómo los rootkits pueden trabajar en OS X. Hemos visto el malware OS X utilizando técnicas de rootkit en el pasado. El ejemplo más notable es OSX / Morcut [3] también llamada Crisis por otros proveedores. Este malware ha sido utilizado para robar información de los Macs infectados y carga una extensión del kernel , para ocultar sus archivos de la víctima.

Detectar un rootkit en OS X actualmente implica el dumping y el análisis de la memoria del núcleo. Se necesita tiempo y conocimiento. No es algo al alcance de todos .

Hoy, ESET esta liberando una herramienta sencilla para detectar rootkits en OS X. Esta herramienta, llamada ESET Rootkit Detector, se puede descargar de la siguiente URL [4]. Su objetivo es detectar las modificaciones en la memoria del kernel OS X que pueden indicar la presencia de un rootkit. Su uso es muy sencillo, el usuario sólo tiene que descargar y ejecutar la aplicación. Dado que se necesita una extensión del kernel para detectar modificaciones en la memoria del kernel, al usuario se le pedirá privilegios de administrador. Después de un par de segundos de la exploración, el resultado se muestra al usuario.

Si se encuentra un módulo malicioso, el usuario tiene la opción de enviar un informe de ESET. Necesitamos ayuda para conocer mejor lo que no sepamos ya. El equipo de ingeniería inversa de ESET revisará los archivos para asegurarse de que los usuarios estén protegidos adecuadamente si se descubre una nueva amenaza.

Los usuarios necesitan que se les recuerde que esta herramienta se encuentra todavía en fase beta por lo que no se recomienda ejecutarlo en equipos de producción. Por otro lado, nos encantaría que lo usen tantas personas como sea posible. Esto nos permitirá ver qué tan bien funciona nuestra nueva tecnología, si se encuentra algo, esto será un gran material de investigación para que podamos hacer un seguimiento de rootkits y documentar mejor la plataforma OS X . Siempre se necesita saber más acerca de las incógnitas.

[ 1 ] Charlie Miller , Dino Dai Zovi , Manual del Hacker Mac , marzo de 2009 , ISBN : 0470395362

[ 2 ] Paul Baccas , Kevin Finisterre, Larry H., David Harley, Gary Porteous , OS X Exploits y Defensa , Elsevier 2008 , ISBN : 978-1-59749-254-6

[ 3 ] http://www.virusradar.com/en/OSX_Morcut/detail

[ 4 ] http://eset.com/int/support/rootkit-detector/

Autor Pierre -Marc Bureau , WeLiveSecurity

Known Unknowns – WeLiveSecurity

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s