Cómo encontrar RootKits con Rkhunter

Utilizamos Internet para comunicarnos, aprender, enseñar, comprar, vender y hacer muchas otras actividades. Constantemente estamos conectando nuestros dispositivos a Internet para compartir y recopilar información. Sin embargo, hacerlo viene con sus beneficios y peligros.

Uno de los peligros más prominentes y siempre presentes de conectarse a Internet es un sistema comprendido donde los atacantes pueden usar sus dispositivos para robar información personal y otra información confidencial.

Aunque hay varios métodos que alguien puede usar para atacar un sistema, los raíces son una opción popular entre los piratas informáticos maliciosos. La esencia de este tutorial es ayudarlo a mejorar la seguridad de su dispositivo Linux utilizando el rkhunter o rootkit cazador.

Empecemos.

¿Qué son RootKits??

Los raíces son programas y ejecutables potentes y maliciosos instalados en un sistema comprometido para preservar el acceso, incluso si un sistema tiene un parche de vulnerabilidad de seguridad.

Técnicamente, RootKits son algunas de las herramientas maliciosas más sorprendentes utilizadas en el segundo al paso final en la etapa de prueba de penetración (manteniendo el acceso).

Una vez que alguien instala un RootKit en un sistema, le da acceso al control remoto al atacante al sistema o a la red. En la mayoría de los casos, RootKits es más que un solo archivo que realiza varias tareas, incluida la creación de usuarios, procesos de inicio, eliminación de archivos y otras acciones perjudiciales para el sistema.

Referencia divertida: Una de las mejores ilustraciones de cuán dañinos son los raíces en el programa de televisión Señor. Robot. Episodio 101. Minutos 25-30. Cita Sr. Robot ("Lo siento, es un código malicioso que se hace cargo por completo de su sistema. Podría eliminar archivos del sistema, instalar programas, virus, gusanos ... es fundamentalmente invisible, no puede detenerlo.")

Tipo de RootKits

Hay varios tipos de raíces, cada uno realizando varias tareas. No me sumergiré en cómo funcionan o cómo construir uno. Incluyen:

Rootkits de nivel de núcleo: Estos tipos de raíces operan a nivel de núcleo; Pueden realizar operaciones en la parte central del sistema operativo.

RootKits de nivel de usuario: Estos rootkits funcionan en modo de usuario normal; Pueden realizar tareas como navegar por directorios, eliminar archivos, etc.

Rootkits de nivel de memoria: Estas raíces residen en la memoria principal de su sistema y acaparan los recursos de su sistema. Como no inyectan ningún código en el sistema, un reinicio simple puede ayudarlo a eliminarlos.

Rootkits de nivel de gestor de arranque: Estos RootKits se dirigen principalmente al sistema de cargador de arranque y afectan principalmente al cargador de arranque y no a los archivos del sistema.

Rootkits de firmware: Son un tipo muy severo de raíces que afectan el firmware del sistema, infectando así a todas las demás partes de su sistema, incluido el hardware. Son altamente indetectables en un programa AV normal.

Si desea experimentar con RootKits desarrollados por otros o construir el suyo, considere aprender más del siguiente recurso:

https: // AwesomePensource.com/proyecto/d30sa1/rootkits-list-download

NOTA: Prueba RootKits en una máquina virtual. Úselo bajo su propio riesgo!

Que es rkhunter

RKHUnter, comúnmente conocido como RKH, es una utilidad UNIX que permite a los usuarios escanear sistemas para raíces, exploits, puertas traseras y keyloggers. RKH funciona comparando hashes generados a partir de archivos a partir de una base de datos en línea de hashes no afectados.

Obtenga más información sobre cómo funciona RKH leyendo su wiki del recurso que se proporciona a continuación:

https: // SourceForge.net/p/rkhunter/wiki/index/

Instalación de RKHunter

RKH está disponible en las principales distribuciones de Linux y puede instalarlo utilizando gestores de paquetes populares.

Instalar en Debian/Ubuntu

Para instalar en Debian o Ubuntu:

actualización de sudo apt-get
sudo apt -get install rkhunter -y

Instalar en CentOS/REHL

Para instalar en sistemas Rehl, descargue el paquete usando Curl como se muestra a continuación:

curl -olj https: // SourceForge.net/proyectos/rkhunter/archivos/Último/descargar

Una vez que tenga el paquete descargado, desempaquete el archivo y ejecute el script de instalación proporcionado.

[centos@centos8 ~] $ tar xvf rkhunter-1.4.6.alquitrán.GZ
[centos@centos8 ~] $ cd rkhunter-1.4.6/
[CENTOS@CENTOS8 RKHUNTER-1.4.6] $ sudo ./instalador.SH -Instalación

Una vez que se complete el instalador, debe tener RKHUNTER instalado y listo para usar.

Cómo ejecutar una verificación del sistema con RKHunter

Para ejecutar una verificación del sistema utilizando la herramienta RKHunter, use el comando:

csudo rkhunter -check

La ejecución de este comando iniciará RKH y ejecutará una verificación completa del sistema en su sistema utilizando una sesión interactiva como se muestra a continuación:

Después de la finalización, debe obtener un informe completo de verificación del sistema e iniciar sesión en la ubicación especificada.

Conclusión

Este tutorial le ha dado una mejor idea de qué son RootKits, cómo instalar RKHunter y cómo realizar una verificación del sistema para obtener RootKits y otras exploits. Considere ejecutar una verificación de sistema más profunda para sistemas críticos y arreglarlos.

Happy rootkit caza!