Sistemas de detction de rootkits

Share this…

Los sistemas informáticos se enfrentan a las amenazas de muchos tipos de ataques como rootkits. Un rootkit es un tipo de software oculto, a menudo malicioso, diseñado para ocultar la existencia de procesos o programas de métodos normales de detección para habilitación de acceso privilegiado a un equipo. Una vez que los atacantes han obtenido acceso root, van a instalar rootkits para ocultar la evidencia para que los administradores de sistemas no puedan detectarlos según Webimprints, empresa de pruebas de penetración en México.

Además de robo de información sensible, los atacantes también utilizan rootkits a crear puertas traseras para ataques posteriores. Los rootkits son difíciles de detectar ya que un rootkit intenta ocultar su existencia de los programas anti-malware. Detección de rootkit se puede clasificar en tres grupos explica Dave Smith experto de seguridad de datos en México.

Sistemas de detction de rootkits
Sistemas de detction de rootkits

En el primer grupo, los investigadores de pruebas de penetración analizan y caracterizan los comportamientos de los rootkits. Por ejemplo, HookFinder proporciona información valiosa y detalles sobre los mecanismos de enganchar que se utilizan por los atacantes. K-Tracer y Panorama son herramientas automáticas que pueden de manera eficiente analizar el acceso a datos y trayectorias de propagación y comportamientos de manipulación de los diferentes programas.

En el segundo grupo, los investigadores de pruebas de penetración tratan de detectar los rootkits mediante ciertos síntomas que se exhiben por la intrusión. Por ejemplo, SBCFI (statebased integridad de control de flujo) supervisa la integridad del núcleo del sistema operativo para detectar cambios maliciosos.

En el tercer grupo, las herramientas están diseñadas para evitar los cambios por los rootkits en el núcleo del sistema operativo. La emergencia de la computación en nube se abre un nuevo horizonte para la solución de este problema.

En un entorno virtualizado, el hipervisor puede monitorear el comportamiento de las máquinas virtuales. Mientras que un rootkit puede ser capaz de engañar al sistema operativo virtual, será muy difícil para ocultar un proceso malicioso desde el hipervisor. Varios sistemas de seguridad se han desarrollado para la detección de rootkits en máquinas virtuales. Por ejemplo, investigadores de seguridad de datos en México., utiliza el Vmwatcher y revisa la máquina virtual en general de una manera no intrusiva para inspeccionar estados de bajo nivel de VM.

UCON es un programa basada en eventos. Se mantiene accede al sistema a nivel bajo y asegura que los accesos no pueden ser comprometidas por procesos internos de una máquina virtual.