Skip to content

HookSafe protege al Kernel de los Rootkits

16/noviembre/2009

6_bash-sichtbar_referenceUn grupo de investigación en la Facultad de Ciencias de la Computación en la Universidad Estatal de Carolina del Norte ha escrito un prototipo para prevenir que los rootkits manipulen los enganches objetos del núcleo provocando daños.

Los cuatro investigadores del protector antirootkit crearon e implementaron un sistema virtualizado especial que defiende contra los rootkits persistentes que fuerzan la ejecución en el kernel. El sistema ensambla los mensajes y llamadas a funciones específicas, las replica en una copia oculta del núcleo en una ubicación central y los protege de acceso de escritura. Para probar su producto, llamado HookSafe, el equipo soltó unos pocos rootkits reales y también midieron la carga del sistema en el sistema anfitrión. El resultado mostró una protección altamente eficaz con sólo un 6% de ralentización del sistema.

El equipo obtuvo una exitosa defensa contra, por ejemplo, los rootkis Adore-ng y Phalanx. Xuxian Jiang, uno de los cuatro miembros del equipo, indicó que el código fuente de HookSafe probablemente será público en algún momento en el futuro.

El equipo reconoce dos puntos débiles en su sistema. El primero es que está basado en los llamados perfiles de enganche que se desprenden del análisis dinámico de los enganches del núcleo, un proceso que reconocen no es perfecto y en que los puntos de acceso a los enganches podría perderse, resultando en lagunas de protección. Una posible solución es mejorar el  análisis dinámico o un proceso complementario utilizando un análisis estático. El segundo punto débil es que HookSafe sólo puede registrar los ataques que reconoce, así que los administradores necesitan definir los enganchos de protección antes de tiempo. El equipo tiene la intención de solucionar este problema mediante la colaboración con proyectos como HookFinder o su propio prodcuto predecesor HookMap.

Esperemos que pronto liberen el código, para que pueda ser implementado en el núcleo Linux.

Enlaces:

Anuncios

Los comentarios están cerrados.

A %d blogueros les gusta esto: