ROOTKIT AND BOTNET
CARLOS ANDRES AMAYA RODRIGUEZ
SANDRA MILENA SAJONERO DAVID
WILLIAM CASTRO
Ingeniero
BASE DE DATOS II
GRUPO: 02
UNIVERSIDAD POPULAR DEL CESAR (UPC)
INGENIERIA DE SISTEMAS
2015-1
TABLA DE CONTENIDO
Pág.
INTRODUCCIÓN .................................................................................................... 3
1. ROOTKIT .......................................................................................................... 4
1.1. FUNCIÓN PRINCIPAL DE UN ROOTKIT ...................................................................................... 4
1.2. ESPACIOS DE EJECUCIÓN DE UN ROOTKIT ............................................................................... 4
1.2.1. ROOTKIT EN ESPACIO DE USUARIO .................................................................................. 4
1.2.2. ROOTKIT EN ESPACIO DEL KERNEL ................................................................................... 5
2. BOTNETS O REDES DE ZOMBIS ................................................................... 6
2.1. FORMACIÓN DE UNA BOTNET Y FUNCIONAMIENTO .............................................................. 7
3. RECOMENDACIONES PARA PREVENIR LA INFECCIÓN DE ROOTKIT Y
BOTNET ................................................................................................................ 10
CONCLUSIONES .................................................................................................. 11
REFERENCIAS ..................................................................................................... 12
INTRODUCCIÓN
La Internet es quizás la herramienta tecnológica más popular a nivel mundial en la
actualidad, es importante no solo en el ámbito comercial, sino en la educación, así como, en
muchos otros aspectos de la vida cotidiana de las personas, es aquí donde, cobran fuerzas las
amenazas cibernéticas como los malwares, surgiendo todo un linaje de software maliciosos,
como lo son los Rootkits y los Botnets con objetivos y funcionamiento diferentes.
Rootkit y Botnet son los conceptos claves para comprender esta temática, así como las
funciones que acompañan a estas amenazas informáticas que son capaces de ocultar procesos
de las actividades de espionaje ocurridas en su ordenador.
1. ROOTKIT
Originalmente el término RootKit proviene de los sistemas Unix y hacía referencia a
pequeñas utilidades y herramientas que permitían acceso como "root" de esos sistemas. La
palabra ha evolucionado y hoy por hoy se consideran como un paquete de herramientas para
conseguir ilícitamente privilegios de administrador. Habitualmente se los utiliza para ocultar
procesos y programas que permiten acceso al sistema atacado, incluso tomar control de parte
del mismo.
1.1. FUNCIÓN PRINCIPAL DE UN ROOTKIT
La función principal de un rootkit es la de ocultar información: procesos, conexiones de red,
ficheros, directorios, elevación de privilegios, etc. Adicionalmente puede incorporar otras
funcionalidades como las de backdoor1 para proporcionar acceso permanente al sistema o las
de keylogger para interceptar las pulsaciones del teclado.
1.2. ESPACIOS DE EJECUCIÓN DE UN ROOTKIT
Un Rootkit aprovecha dos espacios de memoria de un sistema operativo típico: el espacio
de usuario y el espacio del kernel.
1.2.1. ROOTKIT EN ESPACIO DE USUARIO
Este es una variedad de rootkit que se ejecuta en el espacio de usuario al mismo nivel que
otras aplicaciones es por ello que se le conoce también como rootkit de aplicación. Este tipo de
rootkit habitualmente sustituye ejecutables legítimos del sistema por otros modificados, de
1 Backdoor: estos programas son diseñados para abrir una "puerta trasera" en nuestro sistema de modo tal de
permitir al creador del backdoor tener acceso al sistema y hacer lo que desee con él.
modo que la información que proporcionan esté manipulada según interese. Entre los
principales binarios objetivo de un rootkit para conseguir su ocultación y operación se
encuentran los siguientes:
Ficheros: ls, df, stat, du, find, lsof, lsatrr, chatrr, sync…
Conexiones: ip, route, neststat, lsof, nc, iptables, arp…
Procesos: ps, top, pidof, kill, lsof…
Tareas: crontab, at…
Logs: syslogd, rsyslogd…
Accesos: sshd, login, telnetd, inetd, passwd, last, lastlog,su, sudo, who, w, runlevel…
Un rootkit es capaz de reemplazar los archivos ejecutables legítimos con sus propias
versiones crackeadas conteniendo algún troyano (lo más típico), otra opción es modificar la
forma en la que las aplicaciones disponibles se comportan usando códigos inyectados, parches
y otras opciones. El Rootkit debe modificar cada uno de esos espacios para infiltrarse en cada
vista de la aplicación, para lograrlo debe modificar las DLL del sistema.
1.2.2. ROOTKIT EN ESPACIO DEL KERNEL
El objetivo principal del rootkit en este espacio es acceder al sistema y conseguir privilegios
de superusuario, de este modo asegurarse un control total del kernel del sistema. Una vez
integrado en el sistema, su detección es mucho más complicada, pues se mueven en un nivel de
privilegio superior que les brinda permisos para poder modificar, ya no solo los binarios en sí,
sino las propias funciones y llamadas del sistema operativo.
Por ello, su diseño debe ser mucho más sofisticado, puesto que al trabajar en espacio de
kernel e interaccionar con funciones y llamadas del sistema básicas, cualquier defecto en su
funcionamiento puede provocar un fallo en el núcleo con consecuencias fatales, es natural que,
este Rootkit sea considerado más peligroso que la versión de usuario, puesto que, su detección
resulta ser casi imposible.
2. BOTNETS O REDES DE ZOMBIS
Un bot proveniente del término “robot” es un código malicioso que se instala en el sistema
normalmente a través de una vulnerabilidad del equipo o usando técnicas de ingeniería social
como por ejemplo, una identidad falsa. Un equipo infectado por un bot pasa a estar dentro de la
botnet o red de zombis, que no es otra cosa que una red de ordenadores controlados de modo
remoto por un hacker, normalmente a través de canales de Chat IRC2 sin que el usuario se
percate de este hecho. Cada uno de los ordenadores de esta red funciona con aparente
normalidad para cada uno de sus usuarios.
2 IRC (Internet Relay Chat) es un protocolo de comunicación en tiempo real basado en texto, que permite debates
entre dos o más personas
Ilustración 1: Esquema de infección y envío de correo basura de una botnet
Fuente: Hispasec
2.1. FORMACIÓN DE UNA BOTNET Y FUNCIONAMIENTO
Aunque los métodos de creación y desarrollo del funcionamiento de una botnet son muy
variados, se identifican una serie de etapas comunes en la vida útil de este tipo de redes:
1. El creador de la botnet diseña la red que va a crear, definiendo los objetivos y los medios
necesarios que va a emplear, incluido el sistema de control de la red.
2. Además necesitará un malware que se aloje en los equipos y permita el control del
mismo, denominado bot, que frecuentemente es un troyano. Este malware puede ser
creado por él mismo (el creador de la red) o puede comprar este bot a un creador de
malware.
3. El siguiente paso consiste en distribuir el malware o bot por cualquier método: correo
basura, páginas con vulnerabilidades, ingeniería social, etc. El objetivo final es que las
víctimas ejecuten el programa y se infecten. En la mayoría de las ocasiones el propio
troyano se propaga por sí mismo, y es capaz (como los gusanos tradicionales, pero
diseñados específicamente para formar parte de una red concreta una vez infectados) de
llegar a otros sistemas desde un sistema infectado a su vez. Si tiene éxito, el número de
zombis puede llegar a crecer exponencialmente.
4. Una vez que el atacante consigue una masa crítica suficiente de sistemas infectados,
puede conseguir el propósito buscado al programar el sistema. Algunas de estas
actuaciones pueden ser:
Robar información de los equipos infectados.
Enviar correo basura o spam.
Realizar ataques combinados a una página web o ataques de denegación de servicio
distribuido.
Construir servidores web para alojar material ilícito (pornográfico y/o pedofílico),
realizar ataques de fraude online (phishing), alojar software malicioso.
Distribuir o instalar nuevo malware.
Crear nuevas redes de equipos zombis.
Manipular juegos online.
Observar lo que la víctima hace si el programa ofrece la posibilidad de visionado de
escritorio remoto.
5. El creador de la botnet puede explotarla de diversas formas:
Utilizar la red directamente en su beneficio.
Alquilarla a terceros, de tal forma que el cliente recibe los servicios y el creador
controla la red.
Vender entornos de control, es decir, el creador vende el programa de control de
zombis al cliente, para que este último lo explote.
6. La botnet permanecerá activa mientras se produzca la actualización del bot para
dificultar su detección, añadir alguna funcionalidad o alguna otra mejora. El declive de
la misma puede provocarse con la resolución de vulnerabilidades de sistemas operativos
y aplicaciones tras la publicación por parte de los fabricantes de las actualizaciones, la
mejora en el control de las redes, utilización de antivirus y antiespías, etc.
Ilustración 2: Esquema de Actualización de Infección de una Botnet
Fuente: Hispasec
3. RECOMENDACIONES PARA PREVENIR LA INFECCIÓN DE ROOTKIT Y
BOTNET
En general es sencillo prevenir y defenderse de este tipo de amenazas. Hoy en día los
fabricantes de sistemas de seguridad informática tratan de dar solución a estos problemas lo más
rápidamente posible, actualizando de manera continua las versiones de su software para dar
respuesta al creciente número de situaciones de este tipo.
Sin embargo, el Observatorio de la Seguridad de la Información de INTECO ha constatado
que las recomendaciones de instalar y tener actualizados antivirus, antispyware y cortafuegos,
no son siempre suficientes, siendo clave la concienciación por parte del usuario final ante este
tipo de amenazas. Consciente de que la difusión de la cultura de la seguridad de la información
entre los usuarios, es el mejor medio para contribuir a esta concienciación, ofrece las siguientes
recomendaciones adicionales:
Instalar sólo software proveniente de fuentes fiables.
Tener actualizado el software del sistema operativo con los últimos parches de
seguridad.
Desconfiar del correo electrónico de origen desconocido y nunca abrir archivos
ejecutables dentro de dichos correos.
Evitar la instalación de programas distribuidos ilegalmente, ya que resultan una
fuente más probable de infección.
CONCLUSIONES
Como resultado de la investigación referente a los conceptos de “Rootkit y Botnets” se
puede concluir que: los rootkits son herramientas que sirven para esconder los procesos y
archivos que permiten al intruso mantener un acceso al sistema, a menudo con fines maliciosos,
moviéndose en espacios de memoria tales como las de aplicación y las del kernel.
Así mismo, los botnets son códigos maliciosos que pueden controlar todos los
computadores y/o servidores infectados de forma remota usándolos en diferentes acciones
delictivas.
Es importante conocer las diversas amenazas que existen en el mundo cibernético, como
punto de partida para colaborar en la prevención y eliminación de estas.
REFERENCIAS
Hernández, B. (2012). Caracteristicas y funcionamiento del malware “rootkit: el enemigo
furtivo”. Obtenido de Universidad Mariano Gálvez De Guatemala: http://premios.eset-
la.com/universitario/images/Premio_Universitario_2012/Bernardo_Hernandez_PUE_2
012.pdf
Inteco. (s.f.). Amenazas silenciosas en la Red: rootkits y botnets . Obtenido de Incibe, Instituto
de Tecnologías de la Información :
https://www.incibe.es/file/o958020emUS5f1Ez5MwRMA
Inteco. (s.f.). Botnets ¿qué es una red de ordenadores zombis? España. Obtenido de
https://observatorio.iti.upv.es/resources/report/624
Lopez, A. (s.f.). Malware en Linux: Rootkits, introducción y clasificación. Obtenido de Incibe,
Instituto Nacional de Ciberseguridad:
https://www.incibe.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_comentarios/m
alware_linux
Noticia. (s.f.). "E-commerce" es en español "cibercomercio". Obtenido de Dinero:
http://www.dinero.com/actualidad/noticias/articulo/e-commerce-espanol-
cibercomercio/112175