{"id":5095,"date":"2013-06-24T20:58:10","date_gmt":"2013-06-24T18:58:10","guid":{"rendered":"http:\/\/www.palentino.es\/blog\/?p=5095"},"modified":"2013-06-25T00:09:58","modified_gmt":"2013-06-24T22:09:58","slug":"rootkits-los-troyanos-del-administrador","status":"publish","type":"post","link":"https:\/\/www.palentino.es\/blog\/rootkits-los-troyanos-del-administrador\/","title":{"rendered":"Rootkits, los troyanos del administrador."},"content":{"rendered":"

Una de las primeras acciones que los atacantes realizan cuando se vulnera la seguridad de un sistema, una vez logeado en \u00e9l, es instalar un rootkit<\/strong>, el cual facilita el control de la m\u00e1quina para futuras ocasiones.<\/p>\n

Dichas herramientas presentan un gran riesgo para los sysadmin y, por tanto, es de vital importancia conocer sus alcances, funcionamiento y los mecanismos que existen para detectarlos.<\/p>\n

Los rootkits de hoy d\u0092\u00eda se infiltran en el sistema objetivo a nivel de kernel<\/strong> o n\u00facleo escapando de esta manera de la atenci\u0097\u00f3n del administrador.<\/p>\n

Los llamados rootkits esconden procesos, conexiones de red y los archivos de los\u00a0administradores, y garantizan el acceso al atacante mediante una puerta trasera.<\/p>\n

<\/p>\n

En muchos casos programas que ejecutan los administradores, como un simple ps<\/strong><\/a>, o un netstat <\/a>ocultan informaci\u00f3n relevante a sus ojos y camuflan procesos para que no sean percatados por los sysadmin.<\/p>\n

\"netstat\"<\/a><\/p>\n

Los\u00a0Rootkits\u00a0fueron descubiertos a mediados de los a\u00f1os 90. En aquella \u00e9poca, los administradores del sistema operativo\u00a0UNIX comenzaron a ver un\u00a0comportamiento extra\u00f1o en el servidor, la falta de espacio de disco, ciclos extra en la CPU y las conexiones de red que no se mostraba con el comando\u00a0netstat.<\/p>\n

El nombre Rootkit se origina a partir de la idea de que quien lo utiliza puede acceder f\u00e1cilmente al nivel de root, o de administrador del sistema, una vez la herramienta ha sido instalada.<\/p>\n

Tipos de Rootkit<\/strong><\/p>\n

De acuerdo a la tecnolog\u00eda empleada, existen 3 clases:<\/p>\n

Kits binarios: alcanzan su meta substituyendo ciertos ficheros del sistema por sus contrapartes con los troyanos ocultos.<\/p>\n

Kits del n\u00facleo: utilizan los componentes del n\u00facleo (tambi\u00e9n llamados m\u00f3dulos<\/strong>) que son reemplazados por troyanos.<\/p>\n

Kits de librer\u00edas: emplean librer\u00edas del sistema para contener Troyanos.<\/p>\n

Procedimiento inicial<\/strong><\/p>\n

T\u00edpicamente, un\u00a0atacante\u00a0instala un rootkit en una computadora despu\u00e9s de haber obtenido inicialmente un acceso al nivel ra\u00edz, ya sea por haberse aprovechado de una vulnerabilidad conocida o por haber obtenido una contrase\u00f1a (ya sea por\u00a0crackeo\u00a0de la encriptaci\u00f3n o por\u00a0ingenier\u00eda social<\/a>).<\/p>\n

Una vez que el rootkit ha sido instalado, permite que el atacante disfrace la siguiente intrusi\u00f3n y mantenga el acceso privilegiado a la computadora por medio de rodeos a los mecanismos normales de\u00a0autenticaci\u00f3n\u00a0y\u00a0autorizaci\u00f3n. Pese a que los rootkits pueden servir con muchos fines, han ganado notoriedad fundamentalmente como malware<\/strong>, escondiendo programas que se apropian de los recursos de las computadoras o que roban contrase\u00f1as sin el conocimiento de los administradores y de los usuarios de los sistemas afectados. Los rootkits pueden estar dirigidos al\u00a0firmware<\/a>, al\u00a0hipervisor, al\u00a0n\u00facleo, \u00f3 , m\u00e1s com\u00fanmente, a los programas del usuario.<\/p>\n

Detecci\u00f3n<\/strong><\/p>\n

Desde el punto de vista del hacker, los rootkits \u00a0tienen una desventaja importante<\/strong>: simplemente comparando el\u00a0checksum MD5<\/strong> con el archivo original podemos descubrir un sabotaje.<\/p>\n

No debemos\u00a0olvidar que existen programas especiales de\u00a0b\u00fa\u009csqueda denominados cazadores de rootkits\u00a0que descubren r\u0087\u00e1pidamente estos cambios<\/strong>.<\/p>\n

Otra desventaja es que la influencia del hacker\u00a0est\u00e1\u0087 restringida a las herramientas manipuladas: cualquier software que se instale posteriormente o herramientas en\u00a0medios de s\u00f3\u0097lo lectura (CD-ROM) se mantienen a salvo.<\/p>\n

Hay varios programas disponibles para detectar rootkits.<\/p>\n

En los sistemas basados en Unix<\/strong>, dos de las aplicaciones m\u00e1s populares son\u00a0chkrootkit<\/a>\u00a0y\u00a0rkhunter<\/a>.<\/p>\n

\"rkhunter\"<\/a><\/p>\n

Para Windows<\/strong> est\u00e1 disponible un detector llamado\u00a0Blacklight\u00a0<\/a>(gratuito para uso personal) en la\u00a0web de F-Secure<\/a>. Blacklight presenta problemas de incompatibilidad en Windows 7.<\/p>\n

Otra aplicaci\u00f3n de detecci\u00f3n para Windows es\u00a0Rootkit Revealer\u00a0<\/a>de Microsoft, antes Systernals\u00a0. Detecta todos los rootkits actuales comparando las funcionalidades del sistema operativo original con las que se han detectado. Sin embargo, algunos rootkits han empezado a a\u00f1adir este programa a la lista de los cuales no deben esconderse.<\/p>\n

En esencia, eliminan las diferencias entre los dos listados, de modo que el detector no los encuentra. Pero algo tan simple como renombrar el fichero rootkitrevealer.exe hace que el rootkit ya no sepa que se est\u00e1 enfrentando a un detector. Como se dec\u00eda antes, ser\u00e1 una continua batalla entre los rootkits y los antivirus.<\/p>\n

Los rootkits de kernel y su\u00a0dif\u00edcil\u00a0detecci\u00f3n.<\/strong><\/p>\n

Los programas basados en checksum,\u00a0como Aide <\/a>o Tripwire<\/a>, no pueden\u00a0ayudarnos en la batalla contra los\u00a0rootkits a nivel de kernel.<\/p>\n

\"tripwire\"<\/a><\/p>\n

Los rootkits \u00a0de kernel\u00a0manipulan las llamadas al sistema\u00a0directamente, o en otros lugares del\u00a0kernel, y esto les proporciona la\u00a0capacidad de trucar cualquier programa\u00a0en espacio de usuario.\u00a0Necesitamos saber c\u0097\u00f3mo funciona\u00a0exactamente un rootkit para tener alguna\u00a0oportunidad de descubrir alg\u009c\u00fan rastro\u00a0revelador de un sabotaje. D\u0097\u00f3nde tienen\u00a0que mirar los expertos forenses y qu\u008ee tendr\u0092\u00e1n que encontrar, depende\u00a0enormemente del rootkit que est\u008e\u00e1n\u00a0cazando.<\/p>\n

Un rootkit que manipule el kernel posee un\u00a0control mucho mayor del sistema<\/strong>. El kernel\u00a0sirve informaci\u00f3n del sistema a los procesos, y\u00a0luego la presenta al usuario o administrador.<\/p>\n

Desde la versi\u0097\u00f3n 2.2 de Linux y posteriores cargan\u00a0m\u00f3\u0097dulos din\u00e1\u0087micos<\/strong> del kernel para proporcionar al administrador la posibilidad de cargar\u00a0drivers y dem\u00e1\u0087s c\u0097\u00f3digo en tiempo de\u00a0ejecuci\u00f3n\u0097<\/strong>, y para eliminar la necesidad de recompilar el kernel y reiniciar. Los rootkits a nivel de\u00a0kernel aprovechan este v\u00ed\u0092a de ataque para ejecutar c\u00f3\u0097digo en espacio de kernel , eliminando la informaci\u00f3n\u0097 que un atacante tuviera\u00a0que esconder antes de alcanzar el espacio de\u00a0usuario.<\/p>\n

El rootkit enga\u00f1a de esta manera a los programas en ejecuci\u00f3n\u0097, sin importar si se instalaron posteriormente a quedar comprometido el\u00a0equipo o con qu\u00e9\u008e librer\u00ed\u0092as se han enlazado.<\/p>\n

Los excelentemente programados rootkits\u00a0de kernel de hoy son casi perfectos maestros del disfraz. Ni las herramientas normales\u00a0del sistema, ni las hist\u00f3ricas herramientas\u00a0forenses detectan este tipo de manipulaci\u00f3n\u0097.<\/p>\n

En este caso lo \u00fanico que podemos hacer:<\/strong><\/p>\n

El mejor m\u00e9todo para detectar un rootkit kernel es apagar el sistema que se considere infectado y revisar o salvar los datos arrancando desde un medio alternativo, como un\u00a0CD-ROM\u00a0de rescate o un\u00a0PenDrive. En muchos servidores dedicados de empresas de hospedaje, dejan mecanismos modo rescue para este efecto, o cargan kernels alternativos.<\/p>\n

Un rootkit inactivo no puede ocultar su presencia. Los programas antivirus mejor preparados suelen identificar a los rootkits que funcionan mediante llamadas al sistema y peticiones de bajo nivel, las cuales deben quedar intactas. Si hay alguna diferencia entre ellas, se puede afirmar la presencia de un rootkit. Los rootkits intentan protegerse a s\u00ed mismos monitorizando los procesos activos y suspendiendo su actividad hasta que el escaneo ha finalizado<\/strong>, de modo que el rootkit no pueda ser identificado por un detector.<\/p>\n

\"Barra-separadora-blog\"<\/a><\/p>\n

Ejemplo de uso de rkhunter en Debian<\/strong><\/p>\n

sudo aptitude install rkhunter<\/p>\n

root@server:~# rkhunter –propupd<\/p>\n

\u00bfComo usarlo?<\/strong><\/p>\n

Para comprobar que nuestro sistema est\u00e9 libro de estos \u201cbichos\u201d simplemente ejecutamos:<\/p>\n

$ sudo rkhunter –check<\/p>\n

 <\/p>\n

\"Barra-separadora-blog\"<\/a><\/p>\n

 <\/p>\n

En distros CenOs<\/strong>, ejemplos servidores dedicados 1and1, ovh, etc.<\/p>\n

1. Vamos a descargarlo, instalarlo y actualizar su base de datos.<\/strong><\/p>\n

\n

cd \/usr\/local\/src
\nwget http:\/\/downloads.sourceforge.net\/project\/rkhunter\/rkhunter\/1.4.0\/rkhunter-1.4.0.tar.gz<\/a>
\ntar -zxvf rkhunter-1.4.0.tar.gz
\ncd rkhunter-1.4.0
\n.\/installer.sh –layout default –install
\n\/usr\/local\/bin\/rkhunter –update
\n\/usr\/local\/bin\/rkhunter –propupd
\nrm -Rf \/usr\/local\/src\/rkhunter*
\ncd<\/p>\n

2.\u00a0Lo agregamos al CRON para que se ejecute a diario:<\/strong><\/p>\n

nano -w \/etc\/cron.daily\/rkhunter.sh<\/div>\n

\u00a03.\u00a0Agregamos el siguiente texto al archivo chkrootkit.sh:<\/strong><\/p>\n

#!\/bin\/sh
\n(
\n\/usr\/local\/bin\/rkhunter –versioncheck
\n\/usr\/local\/bin\/rkhunter –update
\n\/usr\/local\/bin\/rkhunter –cronjob –report-warnings-only
\n) | \/bin\/mail -s ‘rkhunter Daily Run (Nombre de tu Servidor)’ tu@email.com<\/p>\n

\u00a04. \u00a0Le damos los permisos necesarios:<\/strong><\/p>\n

chmod 700 \/etc\/cron.daily\/rkhunter.sh<\/p>\n

5.\u00a0Ejecutamos en el momento con el siguiente comando:<\/strong><\/div>\n
rkhunter -c<\/div>\n<\/div>\n

 <\/p>\n

Enlaces herramientas detecci\u00f3n de Rootkit<\/strong><\/p>\n

Malwarebytes:\u00a0http:\/\/www.malwarebytes.org\/products\/mbar\/<\/a><\/p>\n

Panda:\u00a0http:\/\/research.pandasecurity.com\/New-Panda-Anti-Rootkit-Version-1.07\/<\/a><\/p>\n

Kasperky:\u00a0http:\/\/support.kaspersky.com\/sp\/faq\/?qid=208280686<\/a><\/p>\n

Sophos:\u00a0http:\/\/www.sophos.com\/en-us\/products\/free-tools\/sophos-anti-rootkit.aspx<\/a><\/p>\n

Avg:\u00a0http:\/\/recursostic.educacion.es\/observatorio\/web\/es\/software\/software-general\/546-nohemi-luque<\/a><\/p>\n

 <\/p>\n

Al detalle \ud83d\ude09<\/strong><\/p>\n

Aviso<\/span>: No me hago responsable de la instalaci\u00f3n por parte del usuario, de los enlaces proporcionados. Son Links externos a herramientas generalmente gratuitas.<\/strong><\/p>\n

\n\n\n\n
\n\n\n\n
\n\n\n\n
\n
Listado extenso de herramientas de desinfecci\u00f3n de rootkits …\u00a0<\/strong><\/div>\n
* ATool (mirror) –\u00a0http:\/\/www.kernelmode.info\/ARKs\/<\/a>
\n* Avast! Antirootkit –\u00a0http:\/\/files.avast.com\/files\/beta\/aswar.exe<\/a>
\n* Antivir Antirootkit –\u00a0http:\/\/dl.antivir.de\/down\/windows\/antivir_rootkit.zip<\/a>
\n* Catchme –\u00a0http:\/\/www2.gmer.net\/catchme.exe<\/a>
\n* CodeWalker ARK –\u00a0http:\/\/cmcinfosec.com\/download\/cmcark_cw0.2.4.500.rar<\/a>
\n* CodeWalker ARK (mirror) –\u00a0http:\/\/www.kernelmode.info\/ARKs\/cmcark_cw0.2.4.500.rar<\/a>
\n* CsrWalker –\u00a0http:\/\/www.rootkit.com\/vault\/DiabloNova\/cwalker.rar<\/a>
\n* DarkSpy 1.05 –\u00a0http:\/\/www.rootkit.com\/vault\/cardmagic\/DS105fix2beta.rar<\/a>
\n* DeepMonitor –\u00a0http:\/\/orkblutt.free.fr\/DeepMonitor.exe<\/a>
\n* Deep System Explorer (dead link) –\u00a0http:\/\/diamondcs.com.au\/downloads\/dsesetup.exe<\/a>
\n* Deep System Explorer (mirror) –\u00a0http:\/\/www.kernelmode.info\/ARKs\/dsesetup.exe<\/a>
\n* Dr. Web DwShark (mirror) –\u00a0http:\/\/www.kernelmode.info\/ARKs\/DwShark.rar<\/a>
\n* Dr. Web DwShark (newer version) (mirror) –\u00a0http:\/\/www.kernelmode.info\/ARKs\/DrwShark.7z<\/a>
\n* ESET SysInspector\u00a0http:\/\/www.eset.eu\/en\/eset-sysinspector<\/a>
\n* F-Secure Blacklight –\u00a0http:\/\/ftp:\/\/ftp.f-secure.com\/anti-virus\/tools\/fsbl.exe<\/a>
\n* Filter Monitor –\u00a0http:\/\/ntcore.com\/files\/FilterMon.zip<\/a>
\n* FindDll 2 (by Eric_71) –\u00a0http:\/\/eric71.geekstogo.com\/beta\/FindDll2.exe<\/a>
\n* FLISTER –\u00a0http:\/\/www.invisiblethings.org\/tools\/flister.zip<\/a>
\n* GMER –\u00a0http:\/\/www2.gmer.net\/gmer.zip<\/a>
\n* Helios –\u00a0http:\/\/helios.miel-labs.com\/downloads\/Helios.zip<\/a>
\n* Helios Lite –\u00a0http:\/\/helios.miel-labs.com\/downloads\/Helios-Lite.zip<\/a>
\n* HiddenFinder –\u00a0http:\/\/www.wenpoint.com\/download\/HiddenFinder_setup.exe<\/a>
\n* Hook Analyzer –\u00a0http:\/\/www.resplendence.com\/download\/hookanlz302.exe<\/a>
\n* HookShark (dead link) –\u00a0http:\/\/home.arcor.de\/neotracer\/HookShark.rar<\/a>
\n* HookShark (mirror) –\u00a0http:\/\/www.kernelmode.info\/ARKs\/HookShark.rar<\/a>
\n* IceSword 1.22 (english) –\u00a0http:\/\/mail.ustc.edu.cn\/~jfpan\/download\/IceSword122en.zip<\/a>
\n* IceSword 1.22 (english) (mirror) –\u00a0http:\/\/www.kernelmode.info\/ARKs\/IceSword122en.zip<\/a>
\n* Kernel Detective v1.3.1 –\u00a0http:\/\/www.at4re.com\/files\/Tools\/Releases\/GamingMasteR\/Kernel_Detective_v1.3.1.zip<\/a>
\n* Kernel Detective v1.3.1 (mirror) –\u00a0http:\/\/www.kernelmode.info\/ARKs\/Kernel_Detective_v1.3.1.zip<\/a>
\n* kX-Ray 1.0.0.102 –\u00a0http:\/\/bugczech.fu8.com\/bin\/kX-Ray_v1.0.0.102_XP32_beta.zip<\/a>
\n* Mandiant Memoryze –\u00a0http:\/\/fred.mandiant.com\/MemoryzeSetup.msi<\/a>
\n* McAfee Rootkit Detective –\u00a0http:\/\/download.nai.com\/products\/mcafee-avert\/McafeeRootkitDetective.zip<\/a>
\n* modGREPER –\u00a0http:\/\/invisiblethings.org\/tools\/modGREPER\/modGREPER-0.3-bin.zip<\/a>
\n* NIAP Rootkit Detect Tools –\u00a0http:\/\/www.rootkit.com\/vault\/uty\/NIAPAntiRootkitTools.rar<\/a>
\n* Panda Antirootkit –\u00a0http:\/\/research.pandasecurity.com\/blogs\/images\/AntiRootkit.zip<\/a>
\n* Process Hunter –\u00a0http:\/\/www.wasm.ru\/baixado.php?mode=tool&id=359<\/a>
\n* Process Walker –\u00a0http:\/\/www.rootkit.com\/vault\/DiabloNova\/ProcessWalker.rar<\/a>
\n* Radix –\u00a0http:\/\/www.usec.at\/downloads3\/radix_installer.zip<\/a>
\n* RegReveal –\u00a0http:\/\/www.geocities.jp\/kiskzo\/regreveal_v10beta3.zip<\/a>
\n* RootkitDetector –\u00a0http:\/\/www.tarasco.org\/security\/Rootkit_Detector_rkdetector\/RootkitDetector.zip<\/a>
\n* Rootkit Unhooker 3.8 SR2 –\u00a0http:\/\/www.kernelmode.info\/ARKs\/RkU3.8.388.590.rar<\/a>
\n* Rootkit Revealer –\u00a0http:\/\/download.sysinternals.com\/Files\/RootkitRevealer.zip<\/a>
\n* RootQuest (dead link) –\u00a0http:\/\/comsentry.com\/files\/RootQuest_v1.exe<\/a>
\n* RootQuest (mirror) –\u00a0http:\/\/www.kernelmode.info\/ARKs\/RootQuest_v1.rar<\/a>
\n* RootRepeal –\u00a0http:\/\/rootrepeal.googlepages.com\/RootRepeal.rar<\/a>
\n* Safe’n’Sec Personal Pro + Rootkit Detector –\u00a0http:\/\/www.safensoft.com\/sns\/snsrd_eng.exe<\/a>
\n* SafetyCheck 1.7 –\u00a0http:\/\/yyuyao.googlepages.com\/SafetyCheck1.7Beta.rar<\/a>
\n* SanityCheck 2.00 –\u00a0http:\/\/www.resplendence.com\/download\/sanitySetup.exe<\/a>
\n* Sophos Antirootkit –\u00a0http:\/\/www.sophos.com\/products\/free-tools\/sophos-anti-rootkit\/download\/<\/a>
\n* Stealth MBR Rootkit Detector –\u00a0http:\/\/www2.gmer.net\/mbr\/mbr.exe<\/a>
\n* SysProt Antirootkit –\u00a0http:\/\/sites.google.com\/site\/sysprotantirootkit\/Home\/SysProt.zip?attredirects=0&d=1<\/a>
\n* SysReveal –\u00a0http:\/\/www.sysreveal.com\/download\/SysReveal.zip<\/a>
\n* TDSS Remover –\u00a0http:\/\/www.esagelab.com\/files\/tdss_remover_latest.rar<\/a>
\n* Tizer Rootkit Razor –\u00a0http:\/\/www.tizersecure.com\/freedownloads\/Tizer%20Rootkit%20Razor%20Setup.msi<\/a>
\n* TrendMicro RootkitBuster –\u00a0http:\/\/www.trendmicro.com\/ftp\/products\/rootkitbuster\/RootkitBuster_2.80.1077.zip<\/a>
\n* Tuluka Kernel Inspector –\u00a0http:\/\/tuluka.justfree.com<\/a>
\n* Tukula Kernel Inspector (mirror) –\u00a0http:\/\/www.kernelmode.info\/ARKs\/Tuluka_v1.0.360.51beta.zip<\/a>
\n* VBA32 Antirootkit –\u00a0http:\/\/ftp:\/\/anti-virus.by\/pub\/Vba32arkit.zip<\/a>
\n* XueTr –\u00a0http:\/\/xuetr.com\/download\/XueTr.zip<\/a>
\n* YasKit 1.223 –\u00a0http:\/\/qzdx.kafan.cn\/down1\/\/AntiSpyWare\/2009\/YasKit1.223.rar<\/a>
\n* YasKit 1.223 (mirror) –\u00a0http:\/\/www.kernelmode.info\/ARKs\/YasKit1.223.rar<\/a>64-bit Tools<\/strong>* TrueX64 (mirror) –\u00a0http:\/\/www.kernelmode.info\/ARKs\/TrueX64.rar<\/a><\/div>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/form>\n

Aviso<\/span>: No me hago responsable de la instalaci\u00f3n por parte del usuario, de los enlaces proporcionados. Son Links externos a herramientas generalmente gratuitas.<\/strong><\/p>\n

Ejemplo herramienta Anti Rootkit Avast<\/p>\n

\"Ejemplo-herramienta-rootkit-avast\"<\/a><\/p>\n

 <\/p>\n

Libro recomendado<\/strong><\/p>\n

The Rootkit Arsenal: Escape and Evasion in the Dark Corners of the System<\/strong>\u00a0(traducido\u00a0al castellano\u00a0como\u00a0‘El arsenal Rootkit: escape y evasi\u00f3n en los oscuros rincones del sistema’) es un t\u00edtulo escrito por Bill Blunden, publicado por Jones & Bartlett en mayo del 2009.<\/p>\n

El libro conduce al lector hacia la tecnolog\u00eda de los rootkits y sus usos. Se tratan temas como el ensamblado en IA-32, la arquitectura del sistema Windows, la depuraci\u00f3n del kernel, el desarrollo avanzado de rootkits<\/strong> y mucho m\u00e1s alrededor de esta tecnolog\u00eda y su aplicaci\u00f3n.<\/p>\n

El libro tambi\u00e9n proporciona muchos ejemplos de c\u00f3digo fuente sobre el desarrollo de rootkits y c\u00f3mo utilizarlos correctamente<\/strong>. Eso s\u00ed, es recomendable tener una buena comprensi\u00f3n previa en programaci\u00f3n de computadoras y sistemas operativos con el fin de comprender plenamente el contenido del libro.<\/p>\n

\"Rootkitarsenal\"<\/a><\/p>\n

http:\/\/www.amazon.es\/The-Rootkit-Arsenal-Evasion-Corners\/dp\/144962636X<\/a><\/p>\n

 <\/p>\n

Consejo:<\/strong><\/p>\n

Cuidado con los sistemas operativos piratas presentes en redes de intercambio, pueden contener rootkits ya incorporados. Por lo que estamos “infectados” desde la instalaci\u00f3n inicial.<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"

Una de las primeras acciones que los atacantes realizan cuando se vulnera la seguridad de un sistema, una vez logeado en \u00e9l, es instalar un rootkit, el cual facilita el control de la m\u00e1quina para futuras ocasiones. Dichas herramientas presentan un gran riesgo para los sysadmin y, por tanto, es de vital importancia conocer sus alcances, funcionamiento y los mecanismos que existen para detectarlos. Los rootkits de hoy d\u0092\u00eda se infiltran en el sistema objetivo a nivel de kernel o n\u00facleo escapando de esta manera de la atenci\u0097\u00f3n del administrador. Los llamados rootkits esconden procesos, conexiones de red y los archivos de los\u00a0administradores, y garantizan el acceso al atacante mediante una puerta trasera.<\/p>\n","protected":false},"author":1,"featured_media":5104,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[14],"tags":[301,210,668,202],"class_list":["post-5095","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-varios","tag-experto","tag-linux","tag-seguridad","tag-sysadmin"],"_links":{"self":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts\/5095","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/comments?post=5095"}],"version-history":[{"count":29,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts\/5095\/revisions"}],"predecessor-version":[{"id":5107,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts\/5095\/revisions\/5107"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/media\/5104"}],"wp:attachment":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/media?parent=5095"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/categories?post=5095"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/tags?post=5095"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}