INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA

MATO GROSSO
DEPARTAMENTO DA ÁREA DE INFORMÁTICA - DAI

FELIPE GALDINO
JEAN CARLOS
RAFAEL LEÃO

ROOTKIT

Cuiabá – MT

Abril 2011

INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA – IFMT

 REDES DE COMPUTADORES

ROOTKIT

Trabalho Parcial da Disciplina de Segurança de Redes, ministrada

pela Professora Juliana F. Antunes do Curso de Redes de
Computadores do Instituto Federal Educação, Ciência e Tecnologia
de Mato Grosso, requisito para nota da disciplina do 1º bimestre.

Cuiabá – MT

Abril 2011

SUMÁRIO
Introdução .........................................................................................................04

Desenvolvimento ..............................................................................................05

Conclusão..........................................................................................................09

Referências Bibliográficas ................................................................................10

1. INTRODUÇÃO
 A partir de 1989 começarão a surgir, na revista “underground” Phrack
Magazine, códigos-fonte de ferramentas que permitiam editar e remover
entradas nos arquivos utmp, wtmp e lastlog1 do sistema. O Objetivo dessas
ferramentas era ocultar um invasor numa maquina Unix comprometida – desse
modo sua presença não era revelada por comandos como w, Who, users e last.

Com o tempo foram sendo desenvolvidas várias outras ferramentas com

o objetivo de ocultar um invasor numa maquina Unix: versões de comandos do
sistema que ocultam informações relativas ao invasor; programas para não
alterar os tempos de acesso, modificação e o CRC de programas alterados.
Estas ferramentas reunidas deram origem aos primeiros rootkits. Os primeiros
rootkits, originalmente escritos para SunOS e depois para Linux, são citados,
em conjunto com o uso de sniffers, em 1994.

Em 1995 torna-se muito popular na comunidade underground um

malware denominado ROOTKIT, usado num grande número de invasões. A
partir daí muitos outros tipos de rootkits apareceram, para praticamente todas
as variantes de UNIX. A partir de 1997 surgem referencias de construção de
Rootkits inseridos diretamente no Kernel, sob forma de módulos de Kernel
(loadable Kernel Modules, ou LKMs). Nos dias Atuais rootkits continuam sendo
muito populares entre invasores, fazendo parte inclusive de alguns Worms e
ferramentas de DDoS.

Milhares de pessoas acessão a internet diariamente, pois ela lhes

proporciona infinidades possibilidades, como realizar atividades profissionais,
educativas, transações bancarias, interagir com varias pessoas e iniciar
grandes amizades em sites de relacionamento, além de outras atividades.

Entretanto existem grandes perigos que circulam na internet os

chamados “Malware”, em especial os Rootkits que representam grande
ameaça aos internautas. Rootkits são ferramentas usadas com muita
freqüência por invasores, pois são difíceis de serem detectadas.

2. ROOTKIT
 Para não serem detectados no sistema os invasores instalam a
ferramenta Rootkit, e a partir daí permitem a instalação de Backdoors. Rootkit
é um termo oriundo das palavras root e kits, sendo que root é o administrador
da maquina, aquele que tem controle total da máquina e kits se refere aos
programas utilizados por usuários do Linux para que tivessem controle total
sobre um sistema que já esteja comprometido.

Existem duas formas de instalação de Rootkits “local e remota”, ou seja,

a pessoa que tiver acesso físico a ele pode promover sua instalação ou por
intermédio de outro computador, à distância realizar o mesmo procedimento.

Os rootkits são especiais porque não se sabe o que eles estão fazendo.
Rootkits são praticamente impossíveis de serem detectados e removidos. Um
dos problemas em relação aos rootkits é que boa parte dos antivírus não
conseguem localizá-los, ou seja, eles passam despercebidos, camuflados e o
usuário de computador, mesmo com um antivírus instalado, não fica sabendo
que há um programa malicioso instalado em sua estação de trabalho. Embora
as ferramentas de detecção estejam se proliferando, os desenvolvedores de
malware estão em constante busca por novas maneiras de rastreá-las.

Rootkits podem trazer inúmeros problemas, como por exemplo, podem

ter as mesmas características de um Keylogger (este serve para registrar todas
as teclas digitadas no computador), de um Vírus (cuja função é se espalhar
pelo computador contaminando arquivos e causando danos em programas,
hardware e arquivos) e de um scanner (programas que procuram
vulnerabilidades nos computadores das vítimas.

3. TIPOS DE ROOTKITS
 • SucKIT: o rootkit mais famoso, que usa a técnica do /dev/kmem
para acessar diretamente as portas da rede, e permitir invasões
remotas. Provavelmente não funciona mais no Kernel 2.6.5.
Rootkits que usam o modo LKM (Linux Kernel Modules):

• RIAL: esconde arquivos e conexões. O comando 'less' é

desativado. Rootkit bem fraco, basta executar "cat /proc/modules"
para pegá-lo.
• heroin: esconde arquivos e processos, não provê invasões remotas.
Não aparece com "lsmod" nem permite o uso de "rmmod", mas
pode ser encontrado com o comando "cat /proc/ksyms | grep
heroin".
• afhrm: redireciona arquivos para darem em locais errados. Não
funciona nos Kernels 2.2 ou mais avançados.
• Synapsis: esconde arquivos, portas e processos, mas tem vários
bugs. Dá direitos de root a um usuário qualquer. Pode ser
encontrado com "cat /proc/modules".
• adore: rootkit bem avançado, que permite executar qualquer
comando com privilégios de root ("backdoor local").
• knark: esconde arquivos, processos, serviços, redireciona
comandos e dá privilégios de root, oferecendo um backdoor para
permitir o controle remoto. Se esconde e impede o uso do "rmmod".
• itf: esconde arquivos, processos, redireciona comandos, dá
privilégios de root e instala um backdoor. Também impede o uso do
"rmmod".
• kis: pode desativar firewalls, permitir acesso remoto, esconder
processos, arquivos e outros, além de descarregar módulos. Se
esconde como todos outros rootkits.
• adore-ng: igual ao adore mas altera dados do(s) drive(s) de disco
rígido.

1. FUNCIONALIDADES
 Um Rootkit pode instalar vários programas no computador de um vitima
com diversas funcionalidades. Dentre eles, podem ser citados:

• Programas cuja função é esconder atividades e informações deixadas

por um invasor (essa função esta presente em praticamente todos os
Rootkts), tais como diretórios, arquivos, processos e conexões de rede;
• Backdoors, para garantir o acesso futuro do invasor na maquina do
usuário (essa função esta presente na maioria dos Rootkits);
• Programas para remoção de evidencias em arquivos de logs;
• Sniffers, para capturar informações na rede onde o computador está
localizado, como por exemplo, senhas que estejam trafegando sem
qualquer método de criptografia;
• Scanners, para mapear potenciais vulnerabilidades em outros
computadores;
• Outros tipos de malware, como cavalos de tróia, keyloggers, ferramentas
de ataque de negação de serviço.

1. Programas de Detecção e Proteção Contra Rootkits

 Dentre os programas mais comuns capazes de identificar e eliminar
rootkits temos:

• AVG Anti-Rootkit (http://www.avgbrasil.com.br)

• RootkitRevealer (http://technet.microsoft.com/pt-br)

• McAfee Rootkit Detective (http://www.mcafee.com/br)

• Panda Anti-Rootkit (http://www.pandasecurity.com/brazil)

1. CONCLUSÃO
 Apesar de existirem programas específicos para a detecção de rootkits,
a melhor forma de se proteger devido às vulnerabilidades envolvendo a
segurança da informação, deve ser a prevenção, ou seja, adotar
procedimentos no sentido de evitar uma possível contaminação, principalmente
mantendo o sistema operacional, antivírus, firewall e antispyware sempre
atualizados, evitar em clicar em links recebidos em e-mails, não deixar que
outra pessoa utlize seu computador e evitar sites suspeitos.

2. Referência Bibliográficas
Métodos para detecção local de Rootkits e Módulos de Kernel
maliciosos em sistema Unix. Disponível em:

http://www.forcehacker.kit.net/tookit.html

Rootkit. Disponível em:

http://searchmidmarketsecurity.techtarget.com/definition/rootkit

Como eliminar os Rootkits instalados no computador. Disponível em:

http://www.edsouza.net/como-eliminar-os-rootkits-instalados-no-
computador

HIGOR VINICIUS NOGUEIRA JORGE. Artigo: A ameaça invisível dos

Rootkits. . Disponível em:

http://www.conteudojuridico.com.br/?artigos&ver=2.30721

Rootkits: como detectar e previni-los. Disponível em:

http://www.istf.com.br/showthread.php/9475-Rootkits-como-detectar-e-
previni-los?highlight=Rootkits

Rootkit: O Obscuro Ataque do Hacker. Disponível em:

http://technet.microsoft.com/pt-br/library/dd459016.aspx