Tras haber analizado el intento de ejecución del Rootkit Hacker Defender con un usuario administrador y el UAC habilitado y haber sido infructuoso, vamos a proceder a realizar el ataque haciendo uso de los privilegios de Administrador.
Para realizar un rastreo al comportamiento del Rootkit evaluaremos 5 componentes básicos de este tipo de malware:
– Ocultación de ficheros y carpetas.
– Ocultación de procesos y servicios.
– Ocultación de Puertos.
– Ocultación de aplicaciones.
– Componente troyano con tecnología de redirector.
Partimos de la base de que tenemos tanto el fichero de ejecución del rootkit como su fichero de configuración se encuentran en el escritorio de usuario y lo ejecutamos con privilegios de administrador.
Imagen 1- Ejecutando HXDEF100 y comprobando puertos
Inicialmente no detectamos ningún comportamiento anómalo típico, como la desaparición automática de los ficheros hxdef100, ¿ha fallado o es un comportamiento anómalo? Pasamos a realizar las comprobaciones de rigor: no aparece el proceso, ni el servicio, los puertos no han desaparecido aunque desde el fichero de configuración se solicitaba la ocultación de los puertos TCP 135 y 445, el troyano con tecnología de redirector no es funcional, pero ¡curiosamente aunque nuestra aplicación de referencia: la calculadora, se ejecuta sin problema, el icono ha desaparecido!
Imagen 2 – Comprobando proceso ocultacion de aplicaciones.
Bueno estos último nos deja una única funcionalidad: el rootkit se ha ejecutado con eficacia, aunque sus comportamientos para enlazar mediante Hooks las aplicaciones y procesos a engañar no han sido fructuosas, el tratamiento del modelo de UIPI y MIC ha funcionado correctamente.
Aún así como no me deja tranquilo las pruebas, vamos a poner a Windows Vista en más aprietos. Como uno de los comportamientos a esperar es la ocultación de las carpetas, vamos a crear una carpeta con el mismo nombre el ejecutable (hxdef100) y movemos los ficheros hxdef100.exe y hxdef100.ini a la carpeta. ¡Oh sorpresa! Los ficheros desaparecen, pero no la carpeta. Pues vamos a comprobar el proceso y este aparece en el administrador de proceso, aunque no queda oculto, tampoco cambia el comportamiento con respecto a los puertos ni a la calculadora.
¿Porque se ha producido este comportamiento? Se ha producido una posible manipulación en la devolución de datos en el proceso explorer.exe, que se está ejecutando en la capa del administrador, aunque no se ha podido incidir sobre otros procesos restringidos, ni en el Kernell del sistema. Tal y como esperaba, el hecho de reiniciar el Sistema, lleva consigo que el servicio que controla y ejecuta el proceso HXDEF100, no puede levantarse puesto que no encuentra el fichero para la ejecución del servicio.
El resultado final de las pruebas realizadas nos devuelven los siguientes resultados:
– El comportamiento del Rootkit no ofrece la misma funcionalidad que en un Windows XP o en un Windows 2003.
– Hemos tenido que forzar por predicción de comportamiento la ejecución y el proceso de acción del Rootkit.
– Se revela bajo el procedimiento convencional que existe un proceso anómalo en ejecución.
– Las funcionalidades para la ocultación de aplicaciones y puertos no ha resultado efectiva.
– El comportamiento del troyano en tecnología de redirector ha fallado, no devolviendo ninguna Shell de ejecución.
Pues como este laboratorio no me ha dejado satisfecho, para el siguiente, un Rootkit un poco más puñetero. Seguiremos probando a Windows Vista…
Referencias Externas
—————————————————————-
EXCELENTE ARTICULO