vista-tecnica

Échale un vistazo técnico a Windows Vista
Windows Vista y malware I

Comenzamos un nuevo ciclo de post y para ello vamos a analizar el comportamiento de Windows Vista con diferentes funciones de Malware, y para ello contaremos con la ayuda inestimable de un Windows Vista Ultimate y unos amiguitos de lo ajeno, más o menos reciente que nos permitirán estudiar el comportamiento del nuevo sistema operativo de Microsoft, con antiguos y nuevos amigos.

Para el estudio contaremos con todos los mecanismos de defensa con los que cuenta Windows Vista y que en función de las características se irán activando o desactivando comprobando todas las características y las circunstancias en cada uno de las pruebas que se realicen.

Cada post será un laboratorio donde se analizará algunos de estos elementos y se evaluarán las diferentes opciones de seguridad que aporta Windows Vista al laboratorio. Estableceremos el laboratorio desde la perspectiva de usuario avanzado y usuario básico, teniendo en cuenta los esquemas básicos de seguridad como son el uso del UAC, pero analizaremos también los comportamientos en caso de que estos hayan sido deshabilitados.

Para los laboratorios contaremos con la ayuda inestimable de Rootkits, troyanos, troyanos reversos, keyloggers, virus, gusanos, etc.

Para el primer laboratorio contaremos con un elemento Rootkits que conoceréis muchos de vosotros: Hackerdefender. Este Rootkit de tipo Kernell empezó a hacer sus pinitos allá por el 2004 y ha sido uno de los elementos más extendidos y del cual se han hecho algunas modificaciones.

Básicamente el objetivo es realizar la ocultación de ficheros y carpetas, elementos del registro y procesos y servicios. Engañaba con el espacio de disco existente en el sistema y oculta puertos localmente. Utiliza tecnología de redirector de puerto que junto con la funcionalidad de troyano, nos devuelve una Shell por cualquiera de los puertos que tengamos abiertos. En fin toda una pieza, compuesto por dos ficheros: el ejecutable y el fichero de configuración en un fichero ini.

Partimos de la base que el susodicho elemento necesita privilegios de administrador para poder ejecutarse, con lo que a priori puede encontrar el primer hándicap cuando se ejecute con el UAC activo y funcional.

Para la primera prueba vamos a contar con un usuario perteneciente al grupo de administradores (no el administrador) y que será el que lance el ejecutable. Por comparativa cuando se ejecutaba en Windows XP con un usuario con privilegios el Rootkit iniciaba todo el proceso malicioso para el que estaba configurado el fichero de configuración. En el caso de Windows Vista, la ejecución del mismo no comporta ninguna acción: el Rootkit no ha funcionado. ¡Vaya! la estructuración en capas de Windows Vista ha hecho su función y ha impedido que este usuario pueda llegar a ejecutar los drivers a nivel de Kernell, eso sí no ha intervenido el UAC. En este caso concreto el sistema tiene habilitado la función de UAC para que solicite credenciales y no se ha activado. En principio no hay ningún resultado significativo que evidencie el intento de acción que se ha empleado. El análisis a nivel de ficheros demuestra los intentos de acceso a las librerías shell32 son infructuosos y no puede cargar el driver: hxdefdrv, a nivel de sistema, lo que impide que su acción sea consecuente. La ejecución por lo tanto en un contexto no privilegiado no es satisfactorio.

 

 

En el siguiente post analizaremos el comportamiento de este mismo rootkit en un contexto privilegiado y en el contexto del administrador.

 

 

Referencias Externas

 

 ----------------------------------------------------------------

 

Rootkit 

 

Hacker Defender 

 

Filemon 


Publicado: 23/5/2007 21:57 por Juan Luis Rambla con 3 comment(s)

Archivado en: ,,
Comparte este post:

Comentarios

# re: Windows Vista y malware I @Thursday, May 24, 2007 2:58 PM

Vaya excelente, seguiré de cerca los análisis, nunca está de más aprender y como decía uno de mis profesores "debes conocer a tu competencia mejor que a tu producto mismo".

Gracias

Phito

# re: Windows Vista y malware I @Thursday, May 24, 2007 3:58 PM

Ok, pues por aqui estaremos para probar cositas. Una cuestión, ya que a través de estos post analizaremos de todo, se aceptan de todo e iré realizando los análisis que podeis sugerir y así lo haremos más dinámico.

Si quereis que probemos algo especial, me podeis decir el que y si no lo tengo o no lo puedo conseguir, ya veríamos si lo teneis accesible que me pueda llegar para probarlo.

Saludos a todos.

Juan Luis Rambla

# Windows7 y Malware (I) @Thursday, July 23, 2009 12:40 PM

  Ya que nos encontramos a pocos meses de la salida definitiva del nuevo sistema operativo cliente

Windows Tecnico