API HOOKING for dummies

En muchas ocasiones se escucha hablar de ‘API Hooking’, tanto en su vertiente ‘maliciosa’ (por ejemplo, cuando se habla de rootkits) como en su vertiente positiva (los Antivirus usan esta técnica).

He podido comprobar que a mucha gente le suena a algo muy lejano o complejo, por eso, me he propuesto escribir sobre el tema de una forma práctica. Mi objetivo es hablar de entornos Windows y Linux.

De entrada, para clarificar conceptos, cuando hablamos de API nos referimos a todas las llamadas a funciones ajenas a un programa que generalmente se encuentran en DLLs o son llamadas directamente al sistema. Nos vamos a centrar en las DLLs, en el ‘userland’ Sigue leyendo

TROYANIZACIÓN DE MÓDULOS PAM

 “Es un sistema UNIX, lo conozco” – Alexis Murphy (Jurasic Park I)


En sistemas derivados de UNIX, la autenticación de usuarios así como la implementación sistemas de autenticación adicionales, se basa en una arquitectura modular formada en primera instancia por los denominados módulos PAM (Pluggable Authentication Module), lo cual dota al sistema operativo de una base altamente flexible y personalizable para establecer medidas de seguridad adicionales a la hora de autenticar usuarios tanto de acceso local como remoto, de forma transparente a las aplicaciones.
 
Debido a la homogeneidad anterior, resulta menos complejo el portar el funcionamiento de un módulo PAM de un sistema a otro.
Arquitectura PAM

Sigue leyendo