Menú principal

martes, 10 de agosto de 2010

Ocultar procesos en background (parte II de II)

========================================================================
- Ocultar procesos en background. Parte I
- Ocultar procesos en background. Parte II
========================================================================

En el post anterior se ha hablado como un atacante puede ocultar aplicaciones mediante el uso del background, ejecutando aplicaciones en un segundo plano. Sin embargo esta forma de lanzar programas puede ser engañosa para un usuario medio, con capacidades limitadas, ya que la aplicación ejecutada no aparece reflejada en ningún elemento del entorno gráfico del sistema. De este modo, no se observa ningún indicio de que el programa está en ejecución ya que, ni en la barra de aplicaciones de Mac ni en la utilidad “Forzar salida” aparece.

Siguiendo lo expuesto en la entrada anterior, se va a exponer en ésta la posibilidad de ejecutar aplicaciones en segundo plano desde una consola de forma sencilla. Un ejemplo de ello podría ser la generación de un script de instalación de un programa que incorporase la ejecución de algún programa en segundo plano. Para los que no son usuarios de sistemas basados en Unix se explica el procedimiento. Este, como puede apreciarse, es bastante sencillo:

Simplemente añadiendo un & al final de la ejecución de la línea de comandos, la aplicación se ejecutará en segundo plano. Tras lo anterior, la consola devolverá el PID del programa correspondiente.

Enlazando también con lo expuesto en el primer post de la serie, se va analizar cómo identificar la presencia de programas que se están ejecutando en segundo plano, y que por lo tanto, no se pueden visualizar en primera instancia por parte del usuario.

Para ello seguiremos el proceso que a continuación se describe. En primer lugar será necesario abrir una sesión a través de la consola. Tras lo anterior es posible hacer uso de algunos comandos que se describen a continuación:

Comando top. Permite identificar aquellos programas que están consumiendo más recursos del equipo. Puede ser de especial utilidad cuando se detecta un rendimiento excesivamente lento de éste.
Como ya se veía en el primer post de esta serie, el programa VLC se ejecutaba en modo gráfico y en segundo plano. A pesar de encontrarse en ejecución, sin embargo no había constancia en los distintos elementos de la interfaz gráfica de que esto estaba ocurriendo. Frente a lo anterior tal y como muestra la siguiente imagen, haciendo uso del comando top el programa es identificado. Adicionalmente, su ejecución en segundo plano queda indicada con la aparición del asterisco en la línea donde se muestra también el consumo de recursos que VLC está realizando.

Comando ps aux. Es otra de las alternativas que puede ayudar a detectar estos programas “ocultos”. La ejecución de este comando devuelve un listado de las aplicaciones que se están corriendo en el equipo en un determinado momento. Este listado incluye para cada aplicación su ubicación en disco, el PID y la hora de inicio de la misma. A continuación se presenta un ejemplo de lo anterior:


Este comando puede ser de especial utilidad cuando se desconoce el nombre de la aplicación cuyos datos de ejecución queremos consultar.

Comando kill. Tercer y último comando que se analiza en la presente entrada y que permite la parada y eliminación de un determinado proceso en el equipo. Básicamente las posibilidades operativas con este comando son dos. Parar en primera instancia y eliminar posteriormente o pasar de forma directa a la eliminación del mismo.

En el siguiente ejemplo se muestra la segunda de las opciones descritas:


Finalizamos aquí la segunda entrada de esta breve serie, indicando que el uso de los comandos descritos puede ser dirigido hacia labores de análisis forense en entornos Mac. Su uso es especialmente interesante para librar un primer nivel de ocultación, sin embargo si este fuese de mayor grado habría que acudir a la operativa con rootkits, con alguna herramienta como OSX Rootkit Hunter.

========================================================================
- Ocultar procesos en background. Parte I
- Ocultar procesos en background. Parte II
========================================================================

1 comentario:

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares