Continuamos con la segunda parte de herramientas que todo analista de seguridad y malware necesita en su USB a la hora de revisar una computadora.
RootKit Revealer
.gif)
.gif)
Este software nos permite ver un resumen de que procesos tiene abiertos que archivos. Igual que tenemos con Process Explorer.
RootKit Revealer
RootkitRevealer es una utilidad avanzada de detección de rootkits. Se ejecuta en Windows NT 4 y versiones posteriores y su salida incluye una lista de discrepancias entre el Registro y la API del sistema de archivos que puede indicar la presencia de un rootkit de modo de usuario o de modo núcleo. RootkitRevealer detecta correctamente todos los rootkits persistentes publicados en www.rootkit.com, que incluyen AFX, Vence y HackerDefender (Nota: RootkitRevealer no está destinado a detectar rootkits como Fu que no intentan ocultar sus archivos ni sus claves del registro). Si lo usa para identificar la presencia de un rootkit, comuníquenoslo.
La razón por la cual ya no existe una versión de línea de comandos es que los autores de código malintencionado comenzaron a centrarse en el análisis de RootkitRevealer mediante su nombre de archivo ejecutable. Por lo cual, tuvimos que actualizar RootkitRevealer para que ejecute su análisis a partir de una copia con nombre aleatorio que se ejecuta como servicio de Windows. Este tipo de ejecución no es favorable para una interfaz de línea de comandos. Tenga en cuenta que puede usar las opciones de línea de comandos para ejecutar un análisis automático con resultados registrados en un archivo, lo que es equivalente al comportamiento de la versión de línea de comandos.
¿Qué es un rootkit?
El término rootkit se usa para describir mecanismos y técnicas por los cuáles código mal intencionado, incluidos virus, spyware y troyanos, intentan ocultar su presencia de bloqueadores de spyware, antivirus y utilidades de administración del sistema. Existen varias clasificaciones de rootkits que dependen de si el código mal intencionado sobrevive el reinicio o si se ejecutan de modo de usuario o modo núcleo.
Rootkits persistentes
Un rootkit persistente está asociado con código mal intencionado que se activa cada vez que se inicia el sistema. Debido a que dicho código mal intencionado contiene código que se debe ejecutar automáticamente en cada inicio del sistema o cuando un usuario inicia sesión, debe almacenar código en un almacenamiento persistente, como por ejemplo, el Registro o el sistema de archivos, y configurar un método por el cuál el código se ejecute sin intervención del usuario.
Uso de RootkitRevealer
RootkitRevealer requiere que la cuenta desde la que se ejecuta tenga asignados los privilegios para hacer copias de seguridad de archivos y directorios, cargar controladores de dispositivos y realizar las tareas de mantenimiento del volumen (en Windows XP y versiones posteriores). El grupo Administradores tiene asignado estos privilegios de forma predeterminada. Para minimizar los falsos positivos al ejecutar RootkitRevealer en un sistema inactivo.
Para obtener los mejores resultados, cierre todas las aplicaciones y mantenga inactivo el sistema durante el proceso de análisis de RootkitRevealer.
Interpretación de los resultados
Esta es una captura de pantalla de RootkitRevealer que detecta la presencia del popular rootkit HackerDefender. Las discrepancias de clave del Registro muestran que las claves del Registro que almacenan el controlador de dispositivo de HackerDefender y la configuración del servicio no son visibles a la API de Windows, pero están presentes en el análisis de nivel bajo de los datos del subárbol del Registro. Del mismo modo, los archivos asociados de Hackerdefender no son visibles para el análisis del directorio de la API de Windows, pero están presentes en el análisis de los datos sin procesar del sistema de archivos.
.gif)
Debe examinar todas las discrepancias y determinar la posibilidad de que indiquen la presencia de un rootkit. Lamentablemente, no hay manera definitiva de determinar, según la salida, si un rootkit está presente, pero debería examinar todas las discrepancias informadas para asegurarse de que tienen explicación. Si determina que tiene un rootkit instalado, busque en la Web para obtener las instrucciones de eliminación. Si no está seguro sobre cómo quitar un rootkit, deberá volver a dar formato al disco duro de sistema y reinstalar Windows.
Esta herramienta combinada con process explorer nos dará un vistazo detallado del sistema. Nos permitirá ver que procesos tienen ocupado un recurso de red.
TCPView es un programa de Windows que muestra listados detallados de todos los extremos de TCP y UDP del sistema, incluidas las direcciones locales y remotas y el estado de las conexiones TCP. En Windows NT, 2000 y XP, TCPView informa también del nombre del proceso que posee el extremo. TCPView ofrece un subconjunto más informativo y perfectamente presentado del programa Netstat incluido con Windows. La descarga de TCPView incluye Tcpvcon, una versión de línea de comandos con la misma funcionalidad.
TCPView funciona en Windows NT/2000/XP y Windows 98/Me. Se puede usar TCPView en Windows 95 si se cuenta con Windows 95 Winsock 2 Update de Microsoft.
.gif)
Uso de TCPView
Cuando se inicia TCPView, enumera todos los extremos activos TCP y UDP, resolviendo todas las direcciones IP como sus versiones de nombre de dominio. Se puede usar un botón de barra de herramientas o un elemento de menú para activar y desactivar la pantalla de nombres resueltos. En sistemas Windows XP, TCPView muestra el nombre del proceso que posee cada extremo.
De forma predeterminada, TCPView se actualiza cada segundo, pero se puede usar el elemento de menú Options|Refresh Rate (Opciones|Frecuencia de actualización) para cambiar la frecuencia. Los extremos que cambian de estado de una actualización a la siguiente se resaltan en amarillo, los eliminados se muestran en rojo y, los nuevos extremos, en verde.
Se pueden cerrar conexiones TCP/IP establecidas (las etiquetadas con un estado de ESTABLISHED, es decir, establecido) si selecciona File|Close Connections, o hace clic con el botón secundario en una conexión y elige Close Connections en el menú contextual resultante.
Se puede guardar la ventana de resultados de TCPView en un archivo mediante el elemento de menú Save
Esta herramienta no requiere instalación o de archivos dll, sólo es cuestión de ejecutar el exe, seleccionar el proceso a inspeccionar y dar OK. No es muy complicado.
Comandos
| /RunProcess <exe filename> | Run the specified process |
| /ProcessParams <parameters> | Specify parameters for the process that you run with /RunProcess. |
| /StartImmediately <0 | 1> | Specify the "Start Immediately" value (0 or 1). |
Esta ha sido la segunda parte, espero que les haya gustado y les sirvan las herramientas, si tienen alguna duda, comentenla. Pronto veremos la tercera y última parte de estas herramientas.
Entradas
