¿Qué es Rootkit? ¿Cómo funcionan los rootkits? Explicación de los rootkits.

Si bien es posible ocultar el malware de una manera que engañe incluso a los productos antivirus/antispyware tradicionales, la mayoría de los programas de malware ya utilizan rootkits para ocultarse profundamente en su PC con Windows ... ¡y se están volviendo más peligrosos! El rootkit DL3 es uno de los rootkits más avanzados jamás vistos en la naturaleza. El rootkit era estable y podía infectar sistemas operativos Windows de 32 bits ; aunque se necesitaban derechos de administrador para instalar la infección en el sistema. ¡ Pero TDL3 ahora se ha actualizado y ahora puede infectar incluso las versiones de Windows de 64 bits(even 64-bit versions  Windows) !

¿Qué es Rootkit?

virus

Un virus Rootkit es un tipo de malware sigiloso  que está diseñado para ocultar la existencia de ciertos procesos o programas en su computadora de los métodos de detección habituales, a fin de permitir que este u otro proceso malicioso tenga acceso privilegiado a su computadora.

Los rootkits para Windows(Rootkits for Windows) generalmente se usan para ocultar software malicioso, por ejemplo, de un programa antivirus. Es utilizado con fines maliciosos por virus, gusanos, puertas traseras y spyware. Un virus combinado con un rootkit produce lo que se conoce como virus completamente sigilosos. Los rootkits son más comunes en el campo del software espía, y ahora también los autores de virus los utilizan con mayor frecuencia.

Ahora son un tipo emergente de Super Spyware que se oculta de manera efectiva e impacta directamente en el kernel del sistema operativo. Se utilizan para ocultar la presencia de objetos maliciosos como troyanos o keyloggers en su computadora. Si una amenaza utiliza la tecnología de rootkit para ocultarse, es muy difícil encontrar el malware en su PC.

Los rootkits en sí mismos no son peligrosos. Su único propósito es ocultar el software y los rastros que dejan en el sistema operativo. Ya sea que se trate de software normal o programas de malware.

Hay básicamente tres tipos diferentes de Rootkit . El primer tipo, los " Kernel Rootkits " generalmente agregan su propio código a partes del núcleo del sistema operativo, mientras que el segundo tipo, los " User-mode Rootkits " están especialmente destinados a que Windows se inicie normalmente durante el inicio del sistema. o inyectado en el sistema por un llamado "Gotero". El tercer tipo son los MBR Rootkits o Bootkits(MBR Rootkits or Bootkits) .

Cuando encuentre que su AntiVirus y AntiSpyware fallan, es posible que necesite la ayuda de una buena Utilidad Anti-Rootkit(good Anti-Rootkit Utility)(good Anti-Rootkit Utility) . RootkitRevealer de Microsoft Sysinternals es una utilidad avanzada de detección de rootkits. Su salida enumera las discrepancias de la API del (API)registro(Registry) y del sistema de archivos que pueden indicar la presencia de un rootkit en modo usuario o en modo kernel.

Informe de amenazas del Centro de protección contra malware de Microsoft(Microsoft Malware Protection Center Threat Report) sobre  rootkits

Microsoft Malware Protection Center ha puesto a disposición para su descarga su Informe de amenazas(Threat Report) sobre rootkits . El informe examina uno de los tipos de malware más insidiosos que amenazan a las organizaciones y a las personas en la actualidad: el rootkit. El informe examina cómo los atacantes usan los rootkits y cómo funcionan los rootkits en las computadoras afectadas. Esta es la esencia del informe, comenzando con lo que son los rootkits , para principiantes.

Rootkit es un conjunto de herramientas que un atacante o un creador de malware utiliza para obtener el control de cualquier sistema expuesto/no seguro que, de lo contrario, normalmente está reservado para un administrador del sistema. En los últimos años, el término 'ROOTKIT' o 'FUNCIONALIDAD DE ROOTKIT' ha sido reemplazado por MALWARE, un programa diseñado para tener efectos no deseados en una computadora sana. La función principal del malware es extraer datos valiosos y otros recursos de la computadora de un usuario en secreto y proporcionarlos al atacante, lo que le otorga un control total sobre la computadora comprometida. Además, son difíciles de detectar y eliminar y pueden permanecer ocultos durante períodos prolongados, posiblemente años, si pasan desapercibidos.

Entonces, naturalmente, los síntomas de una computadora comprometida deben enmascararse y tenerse en cuenta antes de que el resultado sea fatal. En particular, se deben tomar medidas de seguridad más estrictas para descubrir el ataque. Pero, como se mencionó, una vez que se instalan estos rootkits/malware, sus capacidades ocultas dificultan su eliminación y los componentes que podría descargar. Por este motivo, Microsoft ha creado un informe sobre ROOTKITS .

El informe de 16 páginas describe cómo un atacante usa rootkits y cómo funcionan estos rootkits en las computadoras afectadas.

El único propósito del informe es identificar y examinar de cerca el malware potente que amenaza a muchas organizaciones, en particular a los usuarios de computadoras. También menciona algunas de las familias de malware predominantes y saca a la luz el método que utilizan los atacantes para instalar estos rootkits para sus propios fines egoístas en sistemas sanos. En el resto del informe, encontrará expertos que hacen algunas recomendaciones para ayudar a los usuarios a mitigar la amenaza de los rootkits.

Tipos de rootkits

Hay muchos lugares donde el malware puede instalarse en un sistema operativo. Por lo tanto, en su mayoría, el tipo de rootkit está determinado por su ubicación donde realiza su subversión de la ruta de ejecución. Esto incluye:

  1. Rootkits de modo de usuario
  2. Rootkits en modo kernel
  3. Rootkits/bootkits de MBR

El posible efecto de un compromiso de rootkit en modo kernel se ilustra a través de una captura de pantalla a continuación.

El tercer tipo, modifica el Registro de inicio maestro(Master Boot Record) para obtener el control del sistema e iniciar el proceso de carga en el punto más temprano posible en la secuencia de inicio3. Oculta archivos, modificaciones de registro, evidencia de conexiones de red así como otros posibles indicadores que pueden indicar su presencia.

Familias de malware notables que utilizan la funcionalidad de rootkit(Rootkit)

  • Win32/Sinowal 13: una familia de malware de varios componentes que intenta robar datos confidenciales, como nombres de usuario y contraseñas para diferentes sistemas. Esto incluye intentar robar detalles de autenticación para una variedad de cuentas FTP , HTTP y de correo electrónico, así como las credenciales utilizadas para la banca en línea y otras transacciones financieras.
  • Win32/Cutwail 15: un troyano(Trojan) que descarga y ejecuta archivos arbitrarios. Los archivos descargados pueden ejecutarse desde el disco o inyectarse directamente en otros procesos. Si bien la funcionalidad de los archivos descargados es variable, Cutwail generalmente descarga otros componentes que envían spam. Utiliza un rootkit en modo kernel e instala varios controladores de dispositivos para ocultar sus componentes a los usuarios afectados.
  • Win32/Rustock  : una familia de múltiples componentes de troyanos(Trojans) de puerta trasera habilitados para rootkits desarrollados inicialmente para ayudar en la distribución de correo electrónico "spam" a través de una botnet . Una botnet es una gran red de computadoras comprometidas controlada por un atacante.

Protección contra rootkits

Evitar la instalación de rootkits es el método más efectivo para evitar la infección por rootkits. Para ello, es necesario invertir en tecnologías de protección como productos antivirus y cortafuegos. Dichos productos deben adoptar un enfoque integral de la protección mediante el uso de la detección tradicional basada en firmas, la detección heurística, la capacidad de firma dinámica y receptiva y el monitoreo del comportamiento.

Todos estos conjuntos de firmas deben mantenerse actualizados mediante un mecanismo de actualización automatizado. Las soluciones antivirus de Microsoft(Microsoft) incluyen una serie de tecnologías diseñadas específicamente para mitigar los rootkits, incluida la supervisión del comportamiento del kernel en vivo que detecta e informa sobre los intentos de modificar el kernel de un sistema afectado, y el análisis directo del sistema de archivos que facilita la identificación y eliminación de controladores ocultos.

Si se encuentra que un sistema está comprometido, una herramienta adicional que le permita arrancar en un entorno bueno o confiable conocido puede resultar útil, ya que puede sugerir algunas medidas de remediación apropiadas.(If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.)

Bajo tales circunstancias,

  1. La herramienta de limpieza del sistema independiente(Standalone System Sweeper) (parte del conjunto de herramientas de diagnóstico(Diagnostics) y recuperación de (Recovery Toolset)Microsoft ( DART )
  2. Windows Defender Offline puede ser útil.

Para obtener más información, puede descargar el informe en PDF desde (PDF)el Centro de descarga de Microsoft.(Microsoft Download Center.)



Mercedes Jimenez

About the author

Soy ingeniero de software con más de 10 años de experiencia en el campo de la ingeniería de Windows. Me especializo en el desarrollo de aplicaciones basadas en Windows, así como en hardware y controladores de sonido para el sistema operativo Windows de próxima generación de Microsoft, Windows 11. Mi experiencia en la creación de aplicaciones de Windows me convierte en un activo especialmente valioso para cualquier empresa que busque desarrollar productos tecnológicos innovadores.


Related posts