RootKit

[branco]

fonte : wikipedia

Rootkits seriam uma nova "raça" de vírus surgida nos últimos anos. A principal intenção dele é se camuflar, impedindo que seu código seja encontrado por qualquer anti-vírus. Isto é possível por que estas aplicações têm a capacidade de interceptar as solicitações feitas ao sistema operacional, podendo alterar o seu resultado. Por exemplo, quando o Windows faz um pedido para a leitura ou abertura de um arquivo (seja a mando do anti-vírus ou pelo proprio usuário), o virus intercepta os dados que são requisitados (intercepção via API) e faz uma filtragem dessa informação, deixando passar apenas o código não infectado. Desta forma, o anti-vírus ou qualquer outra ferramenta ficam impossibilitados de encontrar o arquivo malicioso.

O que é um rootkit?

Um rootkit é um trojan que busca se esconder de softwares de segurança e do usuário utilizando diversas técnicas avançadas de programação.

Rootkits escondem a sua presença no sistema, escondendo suas chaves no registro (para que o usuário não possa vê-las) e escondendo os seus processos no Gerenciador de Tarefas, além de retornar sempre erros de "arquivo inexistente" ao tentar acessar os arquivos do trojan.

Diversos trojans utilizam essas tecnologias com o objetivo de dificultar sua remoção e o fazem com sucesso: os rootkits mais avançados são bem difíceis de serem removidos.

Origem do nome rootkit

Os rootkits possuem esse nome por serem, inicialmente, "kits" de programas para a plataforma Linux/Unix para manter o acesso total ao sistema previamente comprometido, agindo como backdoor. Como "root" é o usuário com o controle total do computador nas plataformas Unix, originou-se o nome "rootkit" para denominar estes conjuntos de aplicativos.

Funcionamento

Os rootkits para Linux/Unix geralmente substituem os programas mais comuns, como os programas que listam arquivos, de modo que o administrador do sistema, ao listar os arquivos, não veja a presença dos arquivos do trojan.

No Windows, eles 'infectam' os processos na memória, de modo que toda vez que um processo requisite alguma informação sobre os arquivos do trojan, esta informação seja anulada antes de ser retornada ao programa, o que fará com que os softwares acreditem que estes arquivos não estejam lá.

O Hacker Defender é um dos rootkits mais avançados para Windows atualmente.

Ligações externas

Software

    * Antirootkit Remover e impedir os rootkits
      http://www.antirootkit.com/

[HadeS]

Dá uma olhada nesse meu post branco. Ele tá meio esquecido, mas acho que é legal dar uma olhada.

http://www.darkers.com.br/forum/index.php?topic=1261.0

HadeS

[branco]

hehe rox, bom relembrar pro pessoal estudar 

[julio_maragata]

gostei do post, eu que nao percebia muito bem de rootkit
nao percebo uma coisa entao... de vez em quando alguem pede um trojan indectetavel , pq ninguem recomenda um rootkit?

[branco]

porque como pode ver nao é tao facil desenvolver, ai o pessoal nao tem costume de falar em rootkit e a galera lembra só de trojan, keylogger etc...

mas foi bom vc observa pra galera começar a oferecer rootkit pra quem precisa
as vezes tambem nem tem necessidade disso tudo, só precisa de um trojanzim simples mesmo..

t+

[keyhell]

BOOT KIT is a project related to custom boot sector code subverting Windows NT Security Model.The sample presented currently keeps on escalating cmd.exe to system privileges every 30 secs.

It has several features
1) It's very small.The basic framework is just about 100 lines of assembly code.It supports 2000,XP,2003
2) It patches the kernel at runtime(no files are patched on disk).
3) BOOT KIT is PXE-compatible.
4)It can even lead to first ever PXE virus
5)It also enables you to load other root kits if you have physical access(Normally root kits can only be loaded by the administrator

The bootkit has been tested with a number of kernel mode shell codes such as
Loading Native Applications and drivers from the shell code
creating a kernel ,which periodically raises every CMD.EXE to system privileges.

The Source code will contain 4 levels of BOOT KITs(showcasing different payloads)
1) Basic framework ( Kernel patching has to be done later on)
2) Privilege escalation framework(demonstrates creating new system threads and how to escalate privileges easily)
3) Loading drivers and native applications from kernel mode without touching registry
4) PXE compatible code(Basic framework).

Download Basic Version from http://www.nvlabs.in/?q=node/14

Alguem ja ta a par desses novos Bootkits?
Seria um novo conceito pra rootkits?
Segue ai o link com uns codes pra galera dar uma olhada porém não conheco ninguem realmente bom em assembly.
Abraços

[lcs]

Bom Rootkits é so para profissa mesmo, e na verdade a maioria dos Script Kiddies nem prescisa disso para fazer invaçõenzinhas, bom uma coisa importante em salientar eh que:

Bom o Cloudy é indeciso, uma hora eh Fear outra e Hades(tem a ver com Cavaleiros do zodiaco), a primeira vez que vi postando como Hades nem saquei que era ele, so vi depois embaixo..

Vai gostar de mudar assim hein.. rss


Fallow

[HadeS]

Huauhauahuaha...

LCS, o HadeS não tem nada a ver com cavaleiros do zodíaco não ( ). Eu criei esses users numa época que tava precisando descobrir algumas coisas. Sou eu: Cloudy, HadeS, Fear e Amilly.

Eu pensei em falar com o DarkGênesis pra transferir todos os posts pra um user só, mas acho que daria trabalho e deixaria o fórum meio confuso. Uma hora assinado por Cloudy, outra por HadeS...

E keyhell, vou dar uma pesquisada depois posto aqui o que achar. Valeu!

...by Cloudy || HadeS

[branco]

po eu gostava da amilly, fiquei até com saudades dela já...agora que me lembrei dela dinovo -.-

hmm aonde vc aprendeu a ser tao afeminado em ? rsrs

acho que era vc msm

t+

[HadeS]

São tantas mulheres na minha vida além das familiares, que acabei aprendendo bastante com elas.

E além disso é bom praticar um pouco, porque quando se está sem saída, só apelar prum fake feminino que o pessoal cai.

Era eu mesmo.

HadeS

[branco]

interessante =p só nao sei qual seu interesse comigo, mas ta valendo eu sei que so bonito  ;)

[HadeS]

Interesse nenhum em você. Eram outros interesses na época. E normalmente eu gosto de criar o oposto de mim no fakes, pois que não gosta de mim passa a gostar do fake.

E voltando ao assunto. O BootKit não se trata de um "novo conceito pra rootkits", e sim é um RootKit "normal". Inclusive já tem o Vbootkit, seria o BootKit pro kernel do Windows VISTA.

Segue uma notícia de um site americano.

Vbootkit the First Rootkit Designed for Windows Vista Kernel Subversion


Vbootkit is a rootkit designed to load into Windows Vista's kernel from custom boot sectors. Its authors, security researchers Nitin Kumar and Vipin Kumar claim that this is the first example of such
technology. The Vbootkit's creators describe their rootkit as a back door, or a shortcut to access the Windows Vista Kernel. The Windows Vista kernel rootkit was developed on pre-release versions of the operating system, and only on the 32-bit editions of Windows Vista.

"Vboot kit is first of its kind technology to demonstrate Windows vista kernel subversion using custom boot sector. Vboot Kit shows how custom boot sector code can be used to circumvent the whole protection and security mechanisms of Windows Vista. Testing was performed on Windows Vista RC1 (build 5600) and Windows Vista RC2 (Build 5744). Majority of the stuff remains valid for Windows Vista RTM (Build 6000), though it has not been verified. Testing was done only on 32 bit systems," revealed the authors.

Vbootkit is a rootkit specific for Windows Vista that uses the boot-sectors (master boot record, CD , PXE , floppies etc) to load into the operating system's kernel. Nitin Kumar and Vipin Kumar informed that they did not release the source code online, but that the binaries were in fact submitted to anti-virus companies.

"Vista is still vulnerable to unsigned code execution.vbootkit is the name we have chosen ( V stands for Vista and boot kit is just a termed coined which is a kit which lets you doctor boot process).vbootkit concept presents how to insert arbitrary code into RC1 and RC2, thus effectively bypassing the famous Vista policy for allowing only digitally signed code to be loaded into kernel," additionally claimed the two authors on the NV Labs website.

HadeS

[branco]

hehe realmente, tenho que admitir que você sabe controlar a aparencia.

só nao entendi porque preferiu ficar com essa personalidade, te achava tao meigo...
da proxima vez que quiser entrar no Dharma, tenta entrar com ela, talvez consiga e será um grande prazer ter você no grupo 

agora vo parar de discutir porque tem coisas que minha humildade nao permite

t+

[HadeS]

Galera, upei aqui uns arquivos sobre o VBootKit. Seguem juntos 2 vídeos em .AVI mostrando o VBK em atividade, e um White Paper em .PDF, muito interessante por sinal.

Baixe aqui!

Esse material foi demonstrado no Black Hat Europe, agora em 2007.

HadeS

[Anonymous]

informações sobre os rootkits mais conhecidos podem ser encontrados no site:

www.rootkit.com

além dos classicos tem os mais recentes... para sentir o poder, os orotkits podem se camuflar em meio a privilegios do kernel, com isso ele pode ficar oculto de outros aplicativos, e até mesmo desabilitar aplicativos que eram impossíveis pelos metodos convencionais (anti virus)

tambem tem crescido o desenvolvimento de anti rootkits, e deve virar moda em alguns dias, assim como o anti spyware, anti-blablblaa