Copy Link
Add to Bookmark
Report
SET 032 0x0B
-[ 0x0B ]--------------------------------------------------------------------
-[ Musica y Rootkits ]-------------------------------------------------------
-[ by SET ]----------------------------------------------------------SET-32--
El claxon sonaba insistentemente. El vehiculo se desplazaba lanzado a alta
velocidad sobe una autopista de nueva construccion. Tan nueva que de hecho no
se encontraba senyalizada en el mapa que con cierta dificultad intentaba
descifrar, dados los brusco cambios de direccion que el chofer imprimia al
bolido. Las reglas del codigo de circulacion eran las mismas que regian en el
viejo continente, le habia asegurado su interprete y acompanyante, pero
aparentemente habia otras reglas no escritas que eran las seguidas por el tipo
que se encontraba al volante y del resto de usuarios de la via de comunicacion.
Mas valia no hacer demasiadas preguntas, guardar el in£til mapa y dedicarse a
conversar con su hier tico acompanyante. Podia ser mas £til que intentar
convencer al energ£meno al volante que de todas formas no tenia prisa ya que
ibamos con adelanto y que no eran necesarias semejantes velocidades. Nuestro
viejo conocido Perico Viajero se encaro con el pasivo pasajero que se
encontraba a su lado. "¨Sabes cuanto falta para llegar ?". "Pues me parece que
cerca de media hora". Contesto escuetamente en primera instancia, aunque
despues de reflexionar unos instantes, anyadio lentamente. "De todas formas ten
en cuenta que en estos paises nunca se esta seguro de las distancias ni de los
objetivos. Rel jate y disfruta del paisaje"
Viajero no encontraba nada de excepcional en una monotona llanura que se
extendia hasta el horizonte, asi que puso su cerebro en stand-by y entro en una
fatigosa duermevela interrumpida por los frecuentes cambios de velocidad y de
direccion del vehiculo. En su cabeza se mezclaron confusamente im genes reales
de sus £ltimos viajes con productos de su imaginacion fruto de sus multiples
lecturas. Nunca supo si fue un violento bandazo del coche o bien la angustia de
la pesadilla, pero de pronto se desperto empapado de sudor y con la certeza de
que habian instalado un rootkit en su PC port til y que toda la informacion de
la corporacion que hacia referencia a su ultimo y ultrasecreto "know-how" se
encontraba fluyendo hacia una maquina enemiga y puesta en venta en circulos
reducidos pero bien provistos de contaminadoras divisas. No hay nada como el
subconsciente para hacernos descubrir algo que estaba delante de nuestros ojos
pero que no acabamos de ver. En el cerebro se le quedo grabado el concepto y
juro mentalmente que en cuanto se encontrara en la habitacion del hotel pasaria
el ultimo descubridor autom tico de rootkits que habia descargado de la red.
INSPECCION DE RUTINA
Tuvo que esperar mas de lo que hubiera deseado. Una recepcion ceremoniosa, una
cena copiosa, plagada de extranyos manjares y exoticas bebidas, una despedida
todavia mas lenta, todo ello complicado con un raro y nunca claramente
explicado problema con la llave electronica de la puerta de su habitacion, que
le impidio entrar donde habia podido sin problemas tan solo hacia unas horas.
Siempre tuvo la sospecha que alguien habia aprovechado su paso por el
restaurante para echar un vistazo a sus pertenencias y la penetrante e
inquietante mirada de la pequenya ninya que en el ascensor casi le traspaso la
cara no contribuyo a tranquilizarle los nimos.
De todas formas todo en este mundo llega a su fin y finalmente se encontro
tranquilamente y a solas con su PC port til. No se si alguna vez os habeis
encontrado atrapados por una pequenya mania tal como ser incapaces de dejar de
mirar si realmente habeis apagado el gas antes de irse a dormir o apagar la
plancha despues de una sesion de eliminacion de arrugas de la camisa. Es in£til
que esteis mas que seguros que la accion ha sido ejecutada. La £nica forma de
recuperar la tranquilidad de espiritu y la total cordura es comprobar que la
plancha este apagada, aunque os encontreis a punto de dormirse. Esto es lo que
le ocurria a Viajero mientras r pidamente manipulaba el software que por
casualidad se habia bajado hacia unos dias de www.sysinternals.com Era un
scanners de esos sencillitos que simplemente buscan archivos ocultos y
registros de caracteristicas esotericas. R pidamente lo lanzo y ante su
sorpresa le empezo a darle positivos. Lo que internamente esperaba que tan solo
fuera una confirmacion de sus neuras se convirtio por obra y gracia de la mala
suerte en una verdadera pesadilla que no le iba a dejar dormir en toda la noche.
Lo que estaba pasando es que el maldito programa le comunicaba con extrema
claridad que en un directorio que empezaba por $sys$ se encontraban toda una
serie de archivos tal como aries.sys, crater.sys y otros. Para empezar os
podeis preguntar que tienen de raro. En realidad no es que sean raros,
simplemente es que eran invisibles para la mayoria de las utilidades que
Microsoft pone a nuestra disposicion. O sea que se habia parcheado el sistema
para evitar que vieramos ciertos directorios, caracteristica muy utilizada por
los amigos de los ordenadores ajenos, afin de esconder sus programas una vez
que han conseguido control de nuestro ordenador y con la intencion de mantenerse
dentro el mayor tiempo posible. Viajero estaba totalmente seguro de no haber
instalado ning£n programa de origen dudoso, que en la mayoria de los casos son
la fuente de este tipo de intrusiones, pero la evidencia ahi estaba, asi que en
lugar de iniciar un an lisis forense de su maquina decidio que lo mas r pido
era ver que decia google acerca de aquellos misteriosos programas.
Una r pida b£squeda le dio la solucion, aunque sus ojos no daban credito a lo
que veia. Seg£n lo publicado el 31 de Octubre de 2005 en el blog de Mark
Russinovich alojado en Sysinternals todo el mal venia de un sistema de
proteccion anticopia de un CD producido por SONY. Seg£n la informacion a ahi
ofrecida, a fin de evitar copias piratas, los chicos de SONY habian
subcontratado a los nenes de "First 4 Internet" para que les disenyaran un
sistema que evitara que alguien hiciera mas de tres copias de su magnifico
producto. El trabajo se habia realizado utilizando las mismas tecnicas que
ciertos hackers emplean para instalar rootkits y con tan poca profesionalidad
que el Windows atacado producto resultante de la manipulacion quedaba
comprometido y podia incluso ser inestable o irrecuperable bajo ciertas
condiciones.
"Es que uno ya no se puede fiar de nadie", penso Viajero, aunque con un poco de
mala conciencia, ya que empezaba a entender el mecanismo por el cual se habia
infectado. Casi lo primero que habia hecho al bajar del avion, fue comprar una
serie de CDs de esos que venden por un EURO en algunas partes de este mundo.
Con el pecado vino la penitencia, ya que los copiadores piratas habian sido lo
bastante listos para saltarse los sistemas de proteccion pero no se habian
tomado la molestia de limpiar los CDs de las inmundicias puestas ahi por la
pareja SONY First4, que, todo hay que decirlo, ya anunciaban en la publicacion
de su producto que este se encontraba dotado con un regalo en forma de
proteccion.
En el mismo blog de Sysinternals se daban las instrucciones para eliminar tan
molesto inquilino, y aunque no eran de lo mas evidentes tampoco eran realmente
complicadas. Mientras se encontraba metido en tan ingrata operacion, Viajero
recorrio mentalmente los diferentes pasos que se deben seguir si se sospecha
que hemos sido infectados.
BUSCANDO SENALES
En ning£n momento pretendia sentar catedra ni dejar simplemente un sistema
totalmente seguro. Para eso con una reinstalacion desde cero de todo el sistema
era mas que suficiente. Lo que en principio mueve a la gente como Viajero es la
curiosidad. Es saber como se ha entrado y que esta haciendo. Si lo que queremos
es iniciar una accion legal, mejor que se sigan otros procedimientos.
Centr ndose en un Windows, tampoco es de total seguridad hacer una
actualizacion del Sistema Operativo, ya que esta te va a hacer justamente eso.
Una actualizacion de los archivos que juegan con el n£cleo del OS, pero nada
dice ni hace con el resto de miriadas de archivos que componen el arco de
trabajo de una maquina moderna. Todo lo que se relaciona con editores de
textos, bases de datos y un largo etcetera, queda como estaba al principio e
igual de vulnerables que antes.
Para empezar hay que buscar que es lo que han registrados los logs del sistema.
En el caso del mundo Windows el asunto es un tanto anemico y ademas lo primero
que hace un atacante avisado es borrar todas las huellas, por tanto no os
debierais sorprender mucho si no se encuentra nada. Solo los sistemas que hacen
copias de seguridad sobre otras estaciones se encuentran libres o al menos
alejadas de un borrado completo de cualquier evidencia. De todas, si no se
busca desde luego no vais a encontrar nada.
Tampoco debemos fiarnos de los antivirus. No es su funcion el buscar algo que
por propia definicion se va a esconder. Los virus son agentes que no buscan
esconder su presencia como primer objetivo, buscan replicarse, sobretodo eso.
Los rootkits est n pensados en primer lugar a quedar escondidos y queda a la
habilidad del que lo instala el buscar la brecha para plantarlo. Insistimos,
que normalmente los antivirus fallan estrepitosamente como buscadores de
rootkits. Hay otro problema que esta ligado a los anteriores. Si intentamos
recuperar el sistema en base a copias de seguridad, nunca estaremos seguros de
que no estemos reinstalando nosotros mismo el adherente rookits. La destruccion
o el compromiso de los logs impedir saber cual es la ultima copia de seguridad
que esta realmente limpia.
Siempre hay que mantener la cabeza despejada y no dejarse llevar por el p nico.
No seremos los primeros ni vamos a ser los £ltimos en ser victimas de alguna
broma de este tipo. Por tanto lo mejor es tom rselo con filosofia y empezar a
trabajar sistem ticamente. Tomar nota de todo lo que se hace, lo que se borra y
lo que se encuentra es una buena forma de hacer un trabajo limpio y recuperable
para otras ocasiones. Tambien es de mucha utilidad cuando borramos algo que no
debieramos.
Para empezar a mirar he ahi algunas pistas. Los archivos del sistema y sus
asociados. Para investigarlos lo mejor es utilizar la herramientas que ya nos
viene con el sistema. Por ejemplo el normal "dir /O:D" para que nos de los
archivos ordenados por fecha descendente y que nos dar una pista sobre los
£ltimos modificados. Tambien el buscador que viene con Windows nos puede ser de
utilidad para localizar archivos que guarden similitud con los legitimos. No
debemos sorprendernos de encontrar cosas como "serv1ces.exe" ademas del
legitimo "services.exe". El siguiente punto a comprobar es el registro, sobre
todo aquellos que lanzan archivos o inicializan servicios al arranque del PC.
Debemos revisar los registros que se encuentran en
HKLM\Softaware\Microsoft\Windows\CurrentVersion\Run,
...\RunOnce,
...\RunOnceEx,
...\RunServices,
...\Run ServicesOnce
entre otros deben ser revisados con atencion y a la primer duda buscar en
google a ver que se cuenta sobre ellos.
Los siguientes pasos son buscar usuarios extranyos, para ello simplemente con
"net users" ya estamos servidos y despues ver si estamos ofreciendo al mundo
algo que no tenemos intencion de vender, o sea los "share". Otra vez con un
comando de windows ya tenemos bastante, "net share". Se pueden buscar otras
cosas pero imagino que la idea ya la teneis bastante clara. Hay que buscar
usuarios, grupos de usuarios o dispositivos compartidos que sean extranyos a
nuestros procedimientos normales.
INVESTIGANDO EL SISTEMA
Otro punto de b£squeda son los directorios de extranyas caracteristicas. Nos
estamos refiriendo a los nombres reservados, ta les como lpt1, com1,... muchas
veces nuestros atacantes se disfrazan de ovejas anyadiendo un gran numero de
caracteres en blanco despues de estas letras, de esta forma parecen normales
cuando en realidad son lobos disfrazados de ovejas. Este tipo de trucos los
hacen particularmente dificiles de encontrar y bastante mas de borrar. Muy a
menudo, dado que el interes de los atacantes no es el de una maquina en
concreto, sino simplemente est n interesados en poseer una gran cantidad de
ellas, se utilizan para la configuracion ficheros bat. La b£squeda de ficheros
que contengan instrucciones tales como "dtreg -AddKey \HKLM\SYSTEM\RAdmin" y en
general que manipulen el registro o instalen servicios son buenos candidatos de
instaladores de rookits. Si localizamos el fichero, puede que su creador haya
dejado en su interior alguna pista de su origen y podamos localizar al
energ£meno. Si lo conseguimos, cada cual que haga lo que quiera, nosotros somos
partidarios del "vive y deja vivir", pero tengan en cuenta los creadores de
rootkits que un mal dia lo puede tener cualquiera y que la venganza de alguien
con dolor de cabeza por la ultima jugada que le ha hecho la corporacion para la
que trabaja, puede ser muy dolorosa.
El siguiente paso es comprobar si todos los ficheros del sistema son lo que
dicen ser. Para ello hay que comprobar su firma electronica y esto se puede
hacer r pidamente con una herramienta que todos los usuarios de Windows tienen
instalada, pero pocos se han enterado de su existencia. Estamos hablando de
"sigverif". Lanzado asi tal cual desde la linea de comandos, nos da paso a una
pequenya utilidad que nos permitir checkear si nuestro sistema tiene demasiados
ficheros sin firma. Tampoco se trata de borrar todos los positivos porque de
todo hay en la vinya del Senyor y siempre encontraremos algo legitimo que por
alguna razon no esta firmado. Como siempre la precaucion es lo que debe primar
y despues Google que para esto lo ha puesto Dios en la tierra.
A parte de las propias herramientas que el sistema nos trae, existen algunas
utilidades que son realmente practicas. Ahi tambien la prudencia debe ser
maxima asi como la prevision. Todas las herramientas de este tipo debieran
haber sido descargadas con anterioridad y estar guardadas en alg£n medio que no
sea modificable. Sino pueden haber sido tambien comprometidas y los resultados
que den sean totalmente erroneos. En webs tales como www.sysinternals.com,
www.execsoft.com, www.systemtools.com, www.foundstone.com, entre otras, nos
brindan una serie de herramientas que nos pueden alegrar el dia y la noche.
MAS DATOS, SITIOS Y COMO BUSCAR
Si alguien se ha hecho duenyo de vuestra maquina de lo que podemos estar seguros
es de que ha planificado como volver a ella de forma comoda y sin que otros
puedan utilizar el mismo camino. Esto significa poner en marcha servicios,
esconderlos para que no los puedas ver ni tocar. Hay siempre un punto debil a
tu favor, si el servicio esta en marcha alguna puerta ha quedado abierta con el
servicio a la escucha. Si el intruso a parcheado nuestro sistema para que no lo
podamos ver desde dentro, lo que no puede evitar es que lo veamos desde fuera
de la misma manera que ellos lo puede ver. Por tanto una forma f cil de
comprobar que no haya nada raro es lanzar desde nuestra maquina el "netstat" y
comparar los resultados con un escaneo externo y para eso creo que todo el
mundo estar de acuerdo que nmap (www.insecure.org) es la opcion ideal.
Sin animo de hacer publicidad, deberiais considerar la posibilidad de pasaros
por sitios tales como http://www.security.nnov.ru/files/ de donde os podes
bajar el fichero rkdetect.zip. Esta utilidad detecta i enumera servicio a nivel
de usuario y de kernel. Compara los resultados y muestra las diferencias.
Microsoft tambien a empezado desarrollar utilidades especificas que pueden
bajarse desde
http://www.microsoft.com/windows2000/techinfo/reskit/tools/default.asp
http://go.microsoft.com/fwlink/?LinkId=4544
http://www.microsoft.com/ntworkstation/downloads/Recommended/Featured/NTKit.asp
Mas cosas se pueden bajar de
http://bagpuss.swan.ac.uk/comms/RKDetectorv0[1].62.zip
Ahi hay una utilidad que descubre procesos ocultos y los mata. De paso limpia
tambien el registro. Para evitar destruir lo que no deberia, dispone de una
base de datos MD5 de los rootkits mas comunes.
En www.f-secure.com/blacklight/ esta Blacklight. Actualmente en forma de beta,
por tanto puede cambiar en cualquier momento. Hasta ahora es gratis su descarga
y requiere ser administrador para lanzarlo. De www.sysinternals.com hemos hecho
referencia reiterada aqui. El Rootkitrevealer es tambien libre y su
funcionamiento no es autom tico. Tan solo analiza y hace una descripcion de lo
que descubre. Unhackme de www.greatis.com/unhackme/ es tambien libre de
descarga pero en version de evaluacion. Requiere instalacion previa antes de
utilizarse. Finalmente RegdatXP de http://people.freenet.de/h.ulbrich/, no es
estrictamente un detector de rootkits sino mas bien un editor b sico de
registro. Esto significa que puede cargar copias del registro y que facilita
la vida a los usuarios cuyo rootkit particular a tenido el delicioso detalle de
dejarle el "regedit" oficial de Windows fuera de servicio o de utilidad dudosa.
El programa es shareware.
ELIMINANDO EL ROOTKIT
Eliminar un rootkit es siempre una operacion delicada. Se han instalado drivers
y se han modificado programas fundamentales, por tanto es altamente probable
que el sistema quede inestable si dejamos alguna pieza suelta. Por ello creemos
que la mejor estrategia es arrancar con el CD original de instalacion de
Windows (estamos hablando de Windows 2000 y XP), elegir la opcion "R" para
indicar que deseamos arrancar con la consola de recuperacion, eliges la
instalacion que quieres reparar, en el caso de que tengas mas de una y entras
como administrador. En la pantalla negra que a tantos les producen escalofrios
y a otros un intima excitacion, el comando a utilizar de entrada es "listsvc"
para ver todos los servicios que estamos corriendo.
Los servicios que nos sean desconocidos debemos desactivarlos con el comando
"disable" que tiene la ventaja que indica ademas en que estado se encontraba
anteriormente. No espereis encontrar nombres evidentes, normalmente los
rootkits intentan camuflarse bajo nombres que parecen oficiales o con sutiles
diferencias respecto a u servicio legal. Es la misma tecnica que emplean los
que falsifican piezas o equipos y cambian ligeramente algo para aprovecharse de
la propagando oficial pagada por un tercero. Una vez hemos desactivado el
servicio, podemos arrancar normalmente y el siguiente paso es luchar con el
registro.
Hay que buscar en el registro todos las referencias a los servicios
desactivados. Probablemente encontrareis mas de uno, ya que la imaginacion de
algunos es inagotable. El objetivo no es solo borrar las referencias sino
encontrar los archivos de configuracion. Estos archivos en el Windows legal
terminan en .ini pero no espereis encontraros con las mismas extensiones en
este caso. Cualquier terminacion es valida y de nuevo la imaginacion para
esconderse puede ser infinita. Hay ademas una dificultad adicional. Muchas
veces no solo se cambian las terminaciones sino que se enmascaran los nombres
para evitar ser encontrados o dificultar su borrado. Una de las tecnicas
consiste anyadir una gran cantidad de caracteres en blanco despues de un nombre
legal o tambien el colocar caracteres especiales.
REFLEXIONES
Dias despues, Viajero reflexionaba frente a la pantalla de su maquina. Como se
podia haber esperado no habian pasado ni dos semanas despues del descubrimiento
de Mark y ya habia aparecido un malware que se aprovechaba de las instalaciones
de Sony. Esta siempre lo habia negado pero el hecho era que el hacer invisibles
cualquier archivo, directorio o registro que empezara por $sys$ era una
magnifica ocasion que podia ser aprovechada por otros. En este caso el
10/11/2005 un correo spam intentaba instalar en el directorio de Windows un
fichero llamada $sys$drv.exe". En esencia era un troyano que intentaba
conectarse con un servidor IRC y desde ahi recibir ordenes de cualquier tipo.
Lo menos relevante era que el malware no funcionara por un problema de
programacion. Era simplemente la prueba que las acciones de Sony habian, ya,
perjudicado a sus clientes.
Pero no solo estaba perjudicando a sus clientes, sino tambien ya habia
maltratado a los clientes de otras empresas. El 4/11/2005 salto a la luz otra
noticia procedente de otro grupo "World of Warcraft hackers" comunicando que se
podia aprovechar las manazas de Sony para poder disfrutar del popular juego de
Blizzard Entertainment. Esta tambien habia instalado un sistema de proteccion
que detectaba a los falsificadores investigando los servicios que corrian en la
maquina del jugador. En este caso bastaba con anteponer el famoso $sys$ de Sony
a todo archivo y servicio que se utilizara para falsificar el juego y el
sistema se convertia en invisible para la proteccion de Blizzard. Probablemente
una cosa es meterse con unos miles de usuarios amantes de la m£sica, poco
avezados con la inform tica y que no acaban de entender muy bien a que viene
tanto jaleo y otro muy distinto es atacar la cuenta de resultados de otra
corporacion. Fue probablemente esta noticia la que obligo a Sony a sacar su
desinstalador.
Y ahi no acababa la historia. El desintalador de Sony lo que hacia entre otras
cosas era quitar un driver en marcha, cosa que seg£n los expertos de Windows no
debe hacerse si se trata de un patch que juega con la tabla de llamadas de los
procesos. Esto podia provocar un pantallazo azul de lo mas bonito. La actitud
de la multinacional no ha sido precisamente brillante. Desde negar la
evidencia, pasando por no suministrar herramientas de desintalacion sino era
previo envio de informacion mas o menos sensible, hasta intoxicacion
sistem tica en los medios de comunicacion.
CONCLUSIONES
Creiamos que lo habiamos visto todo bajo la luz del sol, pero parece que no es
asi. Siempre debemos dejar espacio para que nuestra capacidad de sorpresa no se
agote. No todos los dias sucede que al comprar un cd de m£sica legal y despues
de escucharlo tranquilamente en nuestro ordenador, este se contagie con un
rookit de todos los demonios que ademas sino tomamos algunas precauciones a la
hora de eliminarlo, nos puede dejar nuestra maquina inestable o simplemente no
bootable. No cuestionamos el animo de lucro de algunas corporaciones, pero que
al menos contraten a alguien que sepa lo que esta haciendo y no haga un trabajo
a medias.
Las companyias creadoras de software antivirus tampoco se encuentran en muy
buena posicion. F-Secure, por ejemplo, senyala que el software de Sony no se
autorreproduce y por tanto no puede considerarse como un virus. De hecho no
parece que ning£n software antivirus lo detecte, aunque solo F-Secure ha hecho
una declaracion publica. Sin embargo nuestra opinion es un tanto diferente.
Sony ha instalada algo que hace vulnerable nuestras maquinas a ataques de
terceros y esto debiera ser detectado. Lo que ocurre es que atacar a una gran
corporacion y sobre todo en un tema de proteccion de copias es un asunto
espinoso que nadie quiere afrontar directamente.
La noticia de la chapuza de Sony, aparecio el 31 de octubre de 2005 y estas
lineas han sido escritas pocos dias mas tarde, pero mas que suficientes como
para que la noticia hubiese aparecido de forma extendida en los medios de
comunicacion. Muy poco de eso se ha producido. Las primeras noticias
aparecieron en el USA Today y en la BBC. Despues timidamente y siempre
escondidos en terceras paginas han ido apareciendo pequenyas notas en algunas
publicaciones de habla hisp nica. Fueron los blogs de la red que dieron
difusion a la noticia en los grandes medios. En la red se pueden encontrar
multiples comentarios y despues que Sony se viera obligada a sacar una
herramienta que permitiera eliminar el engendro, pocos medios siguieron
haciendo eco de la historia. Parece que "nobleza obliga" pero "intereses
economicos" obligan mucho mas. Cada vez tenemos menos confianza en los medios
de comunicacion y contra mas potentes son, mas compromisos tienen que
justificar y menos fiables son. Esta es simplemente nuestra opinion. Una mas
entre tantas otras.
2005 SET, Saqueadores Ediciones Tecnicas. Informacion libre para gente libre
www.set-ezine.org
*EOF* 
