La seguridad de los servidores web es un tema delicado. Existe un porcentaje importante de equipos que se han visto comprometidos y se utilizan para distribuir amenazas. Un investigador ha conseguido crear de forma satisfactoria un rootkit PHP que no solo es capaz de alcanzar persistencia en el sistema, también consigue camuflarse entre el código de los módulos que conforman el servidor Apache.
Partiendo de la base de qué es un rootkit, hay que decir que se trata de una pieza de software que trabaja a muy bajo nivel, alcanzando el nivel del kernel e interceptando las comunicaciones existentes entre los diferentes módulos. Por este motivo, el que nos ocupa busca camuflarse entre los módulos que forman parte del servidor web.
Otro aspecto a tener en cuenta de los rootkits, es que deben trabajar con un grado bastante alto de privilegios. El desarrollador debe ser bastante cuidadoso con las actividades a realizar, ya que se debe pasar desapercibido de cara al usuario, alterando lo menos posible el funcionamiento normal del dispositivo.
El rootkit PHP que nos ocupa, está diseñado para interceptar comunicaciones entre los diferentes módulos PHO instalados en el servidor Apache, lugar en el que ubicará su código.
Indica que resulta bastante complicado programar un software de estas características en lenguaje C, incluso si se es un principiante. Lo que quiere destacar con esto, es que si una persona con conocimientos vagos de este lenguaje puede conseguir los siguientes resultados que vamos a ver, qué no hará un ciberdelincuente con un alto grado de programación.
Las ventajas de este rootkit PHP
De acuerdo con el investigador, todos los scripts que estén programados haciendo uso de este lenguaje, tienen algunas ventajas importantes. La primera, es la invisibilidad de cara al sistema y los usuarios. Es decir, solo provocan fallos de memoria o interrupciones a la hora de contestar a peticiones, algo que resulta totalmente transparente para el usuario.
A esto, hay que sumar en segundo lugar que muy pocos son los desarrolladores que verifican de una forma más o menos recurrente los hashes de los módulos PHP, de ahí que sea tan relativamente fácil pasar desapercibido.
Como tercera ventaja, indicar que los rootkits PHP solo deven hacer uso de un módulo del sistema. Otros softwares deben hacer uso de más, provocando la aparición de posibles ralentizaciones del mismo.
Teniendo en cuenta que PHP se utiliza en una gran cantidad de plataformas, nos encontramos ante una pieza de código que es multiplataforma, algo que supone una ganancia de tiempo y ahorro de costes de desarrollo.
Si se quiere disfrutar de esta pieza de código, existe una prueba en GitHub.
¿Se puede mitigar este tipo de ataque?
Teniendo en cuenta lo que hemos mencionado al comenzar este artículo, y que este tipo de sistemas se utilizan con frecuencia para distribuir amenazas o ataques phishing o spam, es recomendable tomar una serie de consideraciones en cuenta.
A la pregunta de si es posible mitigar la utilización de rootkits PHP, la respuesta es sí. Es cierto que implicará un tiempo extra. La primera opción que se tiene sobre la mesa es comprobar el hash de cada uno de los módulos, para cerciorarnos de que este no se ha visto modificado.
Pero ya ha quedado demostrado que haciendo uso de SHA-1 es posible generar ficheros distintos y que el hash sea idéntico. Por este motivo, conviene utilizar SHA2-56 para evitar que este valor no se vea modificado.
Aunque muchos no son conscientes de la importancia de hacerse fuertes frente a estos ataques, hay que decir que un rootkit de este tipo ofrece persistencia en el sistema y acceso siempre y cuando el ciberdelincuente lo precise oportuno.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad