ROOTKIT AND BOTNET

CARLOS ANDRES AMAYA RODRIGUEZ

SANDRA MILENA SAJONERO DAVID

WILLIAM CASTRO
Ingeniero

BASE DE DATOS II
GRUPO: 02

UNIVERSIDAD POPULAR DEL CESAR (UPC)

INGENIERIA DE SISTEMAS
2015-1

TABLA DE CONTENIDO

Pg.
INTRODUCCIN .................................................................................................... 3
1. ROOTKIT .......................................................................................................... 4
1.1.

FUNCIN PRINCIPAL DE UN ROOTKIT ...................................................................................... 4

1.2.

ESPACIOS DE EJECUCIN DE UN ROOTKIT ............................................................................... 4

1.2.1.

ROOTKIT EN ESPACIO DE USUARIO .................................................................................. 4

1.2.2.

ROOTKIT EN ESPACIO DEL KERNEL ................................................................................... 5

2. BOTNETS O REDES DE ZOMBIS ................................................................... 6

2.1.

FORMACIN DE UNA BOTNET Y FUNCIONAMIENTO .............................................................. 7

3. RECOMENDACIONES PARA PREVENIR LA INFECCIN DE ROOTKIT Y

BOTNET ................................................................................................................ 10

CONCLUSIONES.................................................................................................. 11
REFERENCIAS ..................................................................................................... 12

INTRODUCCIN

La Internet es quizs la herramienta tecnolgica ms popular a nivel mundial en la

actualidad, es importante no solo en el mbito comercial, sino en la educacin, as como, en
muchos otros aspectos de la vida cotidiana de las personas, es aqu donde, cobran fuerzas las
amenazas cibernticas como los malwares, surgiendo todo un linaje de software maliciosos,
como lo son los Rootkits y los Botnets con objetivos y funcionamiento diferentes.
Rootkit y Botnet son los conceptos claves para comprender esta temtica, as como las
funciones que acompaan a estas amenazas informticas que son capaces de ocultar procesos
de las actividades de espionaje ocurridas en su ordenador.

1. ROOTKIT

Originalmente el trmino RootKit proviene de los sistemas Unix y haca referencia a

pequeas utilidades y herramientas que permitan acceso como "root" de esos sistemas. La
palabra ha evolucionado y hoy por hoy se consideran como un paquete de herramientas para
conseguir ilcitamente privilegios de administrador. Habitualmente se los utiliza para ocultar
procesos y programas que permiten acceso al sistema atacado, incluso tomar control de parte
del mismo.
1.1.

FUNCIN PRINCIPAL DE UN ROOTKIT

La funcin principal de un rootkit es la de ocultar informacin: procesos, conexiones de red,

ficheros, directorios, elevacin de privilegios, etc. Adicionalmente puede incorporar otras
funcionalidades como las de backdoor1 para proporcionar acceso permanente al sistema o las
de keylogger para interceptar las pulsaciones del teclado.
1.2.

ESPACIOS DE EJECUCIN DE UN ROOTKIT

Un Rootkit aprovecha dos espacios de memoria de un sistema operativo tpico: el espacio

de usuario y el espacio del kernel.
1.2.1. ROOTKIT EN ESPACIO DE USUARIO
Este es una variedad de rootkit que se ejecuta en el espacio de usuario al mismo nivel que
otras aplicaciones es por ello que se le conoce tambin como rootkit de aplicacin. Este tipo de
rootkit habitualmente sustituye ejecutables legtimos del sistema por otros modificados, de

Backdoor: estos programas son diseados para abrir una "puerta trasera" en nuestro sistema de modo tal de
permitir al creador del backdoor tener acceso al sistema y hacer lo que desee con l.

modo que la informacin que proporcionan est manipulada segn interese. Entre los
principales binarios objetivo de un rootkit para conseguir su ocultacin y operacin se
encuentran los siguientes:

Ficheros: ls, df, stat, du, find, lsof, lsatrr, chatrr, sync

Conexiones: ip, route, neststat, lsof, nc, iptables, arp

Procesos: ps, top, pidof, kill, lsof

Tareas: crontab, at

Logs: syslogd, rsyslogd

Accesos: sshd, login, telnetd, inetd, passwd, last, lastlog,su, sudo, who, w, runlevel

Un rootkit es capaz de reemplazar los archivos ejecutables legtimos con sus propias
versiones crackeadas conteniendo algn troyano (lo ms tpico), otra opcin es modificar la
forma en la que las aplicaciones disponibles se comportan usando cdigos inyectados, parches
y otras opciones. El Rootkit debe modificar cada uno de esos espacios para infiltrarse en cada
vista de la aplicacin, para lograrlo debe modificar las DLL del sistema.

1.2.2. ROOTKIT EN ESPACIO DEL KERNEL

El objetivo principal del rootkit en este espacio es acceder al sistema y conseguir privilegios
de superusuario, de este modo asegurarse un control total del kernel del sistema. Una vez
integrado en el sistema, su deteccin es mucho ms complicada, pues se mueven en un nivel de

privilegio superior que les brinda permisos para poder modificar, ya no solo los binarios en s,
sino las propias funciones y llamadas del sistema operativo.
Por ello, su diseo debe ser mucho ms sofisticado, puesto que al trabajar en espacio de
kernel e interaccionar con funciones y llamadas del sistema bsicas, cualquier defecto en su
funcionamiento puede provocar un fallo en el ncleo con consecuencias fatales, es natural que,
este Rootkit sea considerado ms peligroso que la versin de usuario, puesto que, su deteccin
resulta ser casi imposible.
2. BOTNETS O REDES DE ZOMBIS

Un bot proveniente del trmino robot es un cdigo malicioso que se instala en el sistema
normalmente a travs de una vulnerabilidad del equipo o usando tcnicas de ingeniera social
como por ejemplo, una identidad falsa. Un equipo infectado por un bot pasa a estar dentro de la
botnet o red de zombis, que no es otra cosa que una red de ordenadores controlados de modo
remoto por un hacker, normalmente a travs de canales de Chat IRC2 sin que el usuario se
percate de este hecho. Cada uno de los ordenadores de esta red funciona con aparente
normalidad para cada uno de sus usuarios.

IRC (Internet Relay Chat) es un protocolo de comunicacin en tiempo real basado en texto, que permite debates
entre dos o ms personas

Ilustracin 1: Esquema de infeccin y envo de correo basura de una botnet

Fuente: Hispasec

2.1.

FORMACIN DE UNA BOTNET Y FUNCIONAMIENTO

Aunque los mtodos de creacin y desarrollo del funcionamiento de una botnet son muy
variados, se identifican una serie de etapas comunes en la vida til de este tipo de redes:
1. El creador de la botnet disea la red que va a crear, definiendo los objetivos y los medios
necesarios que va a emplear, incluido el sistema de control de la red.
2. Adems necesitar un malware que se aloje en los equipos y permita el control del
mismo, denominado bot, que frecuentemente es un troyano. Este malware puede ser

creado por l mismo (el creador de la red) o puede comprar este bot a un creador de
malware.
3. El siguiente paso consiste en distribuir el malware o bot por cualquier mtodo: correo
basura, pginas con vulnerabilidades, ingeniera social, etc. El objetivo final es que las
vctimas ejecuten el programa y se infecten. En la mayora de las ocasiones el propio
troyano se propaga por s mismo, y es capaz (como los gusanos tradicionales, pero
diseados especficamente para formar parte de una red concreta una vez infectados) de
llegar a otros sistemas desde un sistema infectado a su vez. Si tiene xito, el nmero de
zombis puede llegar a crecer exponencialmente.
4. Una vez que el atacante consigue una masa crtica suficiente de sistemas infectados,
puede conseguir el propsito buscado al programar el sistema. Algunas de estas
actuaciones pueden ser:

Robar informacin de los equipos infectados.

Enviar correo basura o spam.

Realizar ataques combinados a una pgina web o ataques de denegacin de servicio

distribuido.

Construir servidores web para alojar material ilcito (pornogrfico y/o pedoflico),
realizar ataques de fraude online (phishing), alojar software malicioso.

Distribuir o instalar nuevo malware.

Crear nuevas redes de equipos zombis.

Manipular juegos online.

Observar lo que la vctima hace si el programa ofrece la posibilidad de visionado de

escritorio remoto.

5. El creador de la botnet puede explotarla de diversas formas:

Utilizar la red directamente en su beneficio.

Alquilarla a terceros, de tal forma que el cliente recibe los servicios y el creador
controla la red.

Vender entornos de control, es decir, el creador vende el programa de control de

zombis al cliente, para que este ltimo lo explote.

6. La botnet permanecer activa mientras se produzca la actualizacin del bot para

dificultar su deteccin, aadir alguna funcionalidad o alguna otra mejora. El declive de
la misma puede provocarse con la resolucin de vulnerabilidades de sistemas operativos
y aplicaciones tras la publicacin por parte de los fabricantes de las actualizaciones, la
mejora en el control de las redes, utilizacin de antivirus y antiespas, etc.

Ilustracin 2: Esquema de Actualizacin de Infeccin de una Botnet

Fuente: Hispasec

3. RECOMENDACIONES PARA PREVENIR LA INFECCIN DE ROOTKIT Y

BOTNET

En general es sencillo prevenir y defenderse de este tipo de amenazas. Hoy en da los

fabricantes de sistemas de seguridad informtica tratan de dar solucin a estos problemas lo ms
rpidamente posible, actualizando de manera continua las versiones de su software para dar
respuesta al creciente nmero de situaciones de este tipo.
Sin embargo, el Observatorio de la Seguridad de la Informacin de INTECO ha constatado
que las recomendaciones de instalar y tener actualizados antivirus, antispyware y cortafuegos,
no son siempre suficientes, siendo clave la concienciacin por parte del usuario final ante este
tipo de amenazas. Consciente de que la difusin de la cultura de la seguridad de la informacin
entre los usuarios, es el mejor medio para contribuir a esta concienciacin, ofrece las siguientes
recomendaciones adicionales:

Instalar slo software proveniente de fuentes fiables.

Tener actualizado el software del sistema operativo con los ltimos parches de
seguridad.

Desconfiar del correo electrnico de origen desconocido y nunca abrir archivos

ejecutables dentro de dichos correos.

Evitar la instalacin de programas distribuidos ilegalmente, ya que resultan una

fuente ms probable de infeccin.

CONCLUSIONES

Como resultado de la investigacin referente a los conceptos de Rootkit y Botnets se

puede concluir que: los rootkits son herramientas que sirven para esconder los procesos y
archivos que permiten al intruso mantener un acceso al sistema, a menudo con fines maliciosos,
movindose en espacios de memoria tales como las de aplicacin y las del kernel.
As mismo, los botnets son cdigos maliciosos que pueden controlar todos los
computadores y/o servidores infectados de forma remota usndolos en diferentes acciones
delictivas.
Es importante conocer las diversas amenazas que existen en el mundo ciberntico, como
punto de partida para colaborar en la prevencin y eliminacin de estas.

REFERENCIAS

Hernndez, B. (2012). Caracteristicas y funcionamiento del malware rootkit: el enemigo

furtivo. Obtenido de Universidad Mariano Glvez De Guatemala: http://premios.esetla.com/universitario/images/Premio_Universitario_2012/Bernardo_Hernandez_PUE_2
012.pdf
Inteco. (s.f.). Amenazas silenciosas en la Red: rootkits y botnets . Obtenido de Incibe, Instituto
de Tecnologas de la Informacin :
https://www.incibe.es/file/o958020emUS5f1Ez5MwRMA
Inteco. (s.f.). Botnets qu es una red de ordenadores zombis? Espaa. Obtenido de
https://observatorio.iti.upv.es/resources/report/624
Lopez, A. (s.f.). Malware en Linux: Rootkits, introduccin y clasificacin. Obtenido de Incibe,
Instituto Nacional de Ciberseguridad:
https://www.incibe.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_comentarios/m
alware_linux
Noticia. (s.f.). "E-commerce" es en espaol "cibercomercio". Obtenido de Dinero:
http://www.dinero.com/actualidad/noticias/articulo/e-commerce-espanolcibercomercio/112175