SóProvas

ID
17965
Banca
CESGRANRIO
Órgão
BNDES
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Um usuário mal-intencionado M instalou um rootkit em um servidor S, Windows 2000, após desfigurar o site Internet hospedado por S, que não é protegido por firewall. A esse respeito, é correto afirmar que

Alternativas
Comentários
  • O que é um rootkit?
    Um rootkit é um trojan que busca se esconder de softwares de segurança e do usuário utilizando diversas técnicas avançadas de programação.

    Rootkits escondem a sua presença no sistema, escondendo suas chaves no registro (para que você não possa vê-las) e escondendo os seus processos no Gerenciador de Tarefas, além de retornar sempre erros de “arquivo inexistente” ao tentar acessar os arquivos do trojan.

    Diversos trojans utilizam essas tecnologias com o objetivo de dificultar sua remoção e o fazem com sucesso: os rootkits mais avançados são bem difíceis de serem removidos.

    Origem do nome rootkit
    Os rootkits possuem esse nome por serem, inicialmente, “kits” de programas para a plataforma Linux/Unix para manter o acesso total ao sistema previamente comprometido, agindo como backdoor. Como “root” é o usuário com o controle total do computador nas plataformas Unix, originou-se o nome “rootkit” para denominar estes conjuntos de aplicativos.

    Funcionamento
    Os rootkits para Linux/Unix geralmente substituem os programas mais comuns, como os programas que listam arquivos, de modo que o administrador do sistema, ao listar os arquivos, não veja a presença dos arquivos do trojan.

    No Windows, eles ‘infectam’ os processos na memória, de modo que toda vez que um processo requisite alguma informação sobre os arquivos do trojan, esta informação seja anulada antes de ser retornada ao programa, o que fará com que os softwares acreditem que estes arquivos não estejam lá.

    O Hacker Defender é um dos rootkits mais avançados para Windows atualmente.

  • Resposta correta letra e)O termo rootkit é muito antigo e data da época em que o UNIX prevalecia no mundo. Os Rootkits do sistema operacional UNIX eram tipicamente usados para elevar os privilégios de um usuário ao nível da raiz ( =administrador ). Isso explica o nome dessa categoria de ferramentas.Os Rootkits para o Windows funcionam de maneira diferente e são usados para ocultar softwares maliciosos de um escaneamento de anti-vírus, por exemplo. Por si só, eles não são danosos, mas podem ser usados com esse propósito por vírus, vermes, backdoors e spyware. Um vírus combinado com um rootkit produz o que era conhecido como vírus stealth (invisível) no ambiente do MS-DOS.Qual é o grau de periculosidade de um rootkit?O rootkit por si só não causa danos deliberados. Seu propósito é ocultar um software. Porém, os rootkits são usados para ocultar códigos maliciosos. Assim, um programa de vírus, verme, backdoor ou spyware pode permanecer ativo e não detectado num sistema por muito tempo, se ele utilizar um rootkit.O malware pode permanecer oculto, mesmo se o computador estiver protegido com o estado da arte em anti-vírus. E o anti-vírus não pode remover algo que não percebe. A ameaça de malwares modernos aliados a rootkits é muito semelhante aos vírus stealth completos, que eram catastróficos na era do MS-DOS. Tudo isso faz com que os rootkits sejam uma ameaça significativa.Origem: http://www.f-secure.com.br/blacklight/rootkit.html
  • a) Errada. O rootkit certamente terá funcionalidades para se esconder e impossibilitar a sua detecção utilizando apenas o netstat.

    b)Errada. O problema aqui é "a partir do prompt de comado". O rootkit cetamente alterou os principais comandos do windows e conseguirá forjar a saída do SHA, mostrando o hash correto, mesmo com os arquivos do kernel alterados. Esse teste funcionaria caso os hashes fossem gerados fora do prompt, utilizando uma mídia não gravável (CD, DVD...) e segura.

    c)Errada. O rootkit certamente apagará os registros dos logs.

    d)Errada. Firewall não proteje contra a instalação de rootkits.

    e)Certa. O rootkit está instalado e recebendo ordens por ICMP, assim o atacande poderá fazer o que quiser, disparar ataques diversos, pois o tráfego saindo da rede interna não é bloqueado.

  • Acrescentaria ainda ao comentário do João Castro mais um erro na afirmativa (A). O netstat não detecta apenas as portas TCP abertas, também detecta as UDP. Se o rootkit abrisse um backdoor via UDP o netstat também poderia ver a porta aberta. De qualquer forma já está errado antes o uso do netstat no prompt de comando do windows comprometido.
  • A) ERRADA pois o rootkit pode nem manter as conexões abertas o tempo todo. Além disso nada garante que o comando netstat não tenha sido comprometido.

    B) ERRADA, pois a exibição do resultado do hash pode ser modificada pelo rootkit.

    C) ERRADA. Mesmo que os logs ainda estejam lá, o que é improvável, não são confiáveis pois podem ter sido alterados.

    D) ERRADA. Nenhum? Não dá para ter certeza disto. E se for instalado via pendrive?

    E) CORRETA. Isto é possível.