Windows Vista y malware I

Comenzamos un nuevo ciclo de post
y para ello vamos a analizar el comportamiento de Windows Vista con diferentes
funciones de Malware, y para ello contaremos con la ayuda inestimable de un
Windows Vista Ultimate y unos amiguitos de lo ajeno, más o menos reciente que
nos permitirán estudiar el comportamiento del nuevo sistema operativo de
Microsoft, con antiguos y nuevos amigos.

Para el estudio contaremos con
todos los mecanismos de defensa con los que cuenta Windows Vista y que en
función de las características se irán activando o desactivando comprobando
todas las características y las circunstancias en cada uno de las pruebas que
se realicen.

Cada post será un laboratorio
donde se analizará algunos de estos elementos y se evaluarán las diferentes
opciones de seguridad que aporta Windows Vista al laboratorio. Estableceremos
el laboratorio desde la perspectiva de usuario avanzado y usuario básico,
teniendo en cuenta los esquemas básicos de seguridad como son el uso del UAC,
pero analizaremos también los comportamientos en caso de que estos hayan sido
deshabilitados.

Para los laboratorios contaremos
con la ayuda inestimable de Rootkits, troyanos, troyanos reversos, keyloggers,
virus, gusanos, etc.

Para el primer laboratorio
contaremos con un elemento Rootkits que conoceréis muchos de vosotros:
Hackerdefender. Este Rootkit de tipo Kernell empezó a hacer sus pinitos allá
por el 2004 y ha sido uno de los elementos más extendidos y del cual se han
hecho algunas modificaciones.

Básicamente el objetivo es
realizar la ocultación de ficheros y carpetas, elementos del registro y
procesos y servicios. Engañaba con el espacio de disco existente en el sistema
y oculta puertos localmente. Utiliza tecnología de redirector de puerto que
junto con la funcionalidad de troyano, nos devuelve una Shell por cualquiera de
los puertos que tengamos abiertos. En fin toda una pieza, compuesto por dos
ficheros: el ejecutable y el fichero de configuración en un fichero ini.

Partimos de la base que el
susodicho elemento necesita privilegios de administrador para poder ejecutarse,
con lo que a priori puede encontrar el primer hándicap cuando se ejecute con el
UAC activo y funcional.

Para la primera prueba vamos a
contar con un usuario perteneciente al grupo de administradores (no el
administrador) y que será el que lance el ejecutable. Por comparativa cuando se
ejecutaba en Windows XP con un usuario con privilegios el Rootkit iniciaba todo
el proceso malicioso para el que estaba configurado el fichero de
configuración. En el caso de Windows Vista, la ejecución del mismo no comporta
ninguna acción: el Rootkit no ha funcionado. ¡Vaya! la estructuración en capas
de Windows Vista ha hecho su función y ha impedido que este usuario pueda
llegar a ejecutar los drivers a nivel de Kernell, eso sí no ha intervenido el
UAC. En este caso concreto el sistema tiene habilitado la función de UAC para
que solicite credenciales y no se ha activado. En principio no hay ningún
resultado significativo que evidencie el intento de acción que se ha empleado.
El análisis a nivel de ficheros demuestra los intentos de acceso a las
librerías shell32 son infructuosos y no puede cargar el driver: hxdefdrv, a
nivel de sistema, lo que impide que su acción sea consecuente. La ejecución por
lo tanto en un contexto no privilegiado no es satisfactorio.

 

 

En el siguiente post analizaremos
el comportamiento de este mismo rootkit en un contexto privilegiado y en el
contexto del administrador.

 

 

Referencias Externas

 

 —————————————————————-

 

Rootkit 

 

Hacker Defender 

 

Filemon 

3 comentarios en “Windows Vista y malware I”

  1. Vaya excelente, seguiré de cerca los análisis, nunca está de más aprender y como decía uno de mis profesores “debes conocer a tu competencia mejor que a tu producto mismo”.

    Gracias

  2. Ok, pues por aqui estaremos para probar cositas. Una cuestión, ya que a través de estos post analizaremos de todo, se aceptan de todo e iré realizando los análisis que podeis sugerir y así lo haremos más dinámico.

    Si quereis que probemos algo especial, me podeis decir el que y si no lo tengo o no lo puedo conseguir, ya veríamos si lo teneis accesible que me pueda llegar para probarlo.

    Saludos a todos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *