Comencemos esta guía con la definición de un rootkit y su impacto en la Ciberseguridad.
¿Qué es un rootkit?
Un rootkit es un único programa o paquete de software agrupado para acceder y controlar remotamente un ordenador u otro sistema.
También hay rootkits diseñados para usos legítimos, como proporcionar asistencia remota a un usuario final o proteger la propiedad intelectual del contenido de un medio, como un CD.
Sin embargo, la mayoría de los rootkits son códigos maliciosos que, tras hacerse con el control de un ordenador, abren puertas traseras para introducir software malicioso.
Qué hace un rootkit y quién lo usa
Como recuerda la primera parte del nombre, el primer objetivo de un rootkit es acceder a la raíz, la capa más profunda del software de un ordenador, donde se encuentran el sistema operativo y otros servicios administrativos. Para acceder a esta capa, el malware debe obtener permisos de root, es decir, privilegios de administrador.
Una vez obtenidos los permisos, con un solo movimiento o mediante una escalada de privilegios tras la infección, los rootkits permiten a los piratas informáticos controlar de forma remota un PC y actuar en casi todos los aspectos del sistema operativo (SO).
Dada la amplia gama de códigos maliciosos que se pueden introducir gracias al rootkit, puede haber muchos usuarios: ciberdelincuentes que difunden ransomware que cifran datos y aplicaciones y luego piden pagar un rescate para descifrarlos; organizaciones que utilizan keylogger (programas que interceptan los datos ingresados en un teclado) para obtener datos sensibles para revenderlos en la web oscura; naciones-Estado que convierten los ordenadores en una red desde la que se desencadenan ataques de denegación de servicio distribuidos, DDoS; campañas de noticias falsas, ciberactivistas, terroristas, etc.
Tipos de rootkits
Estos son los tipos de rootkits más utilizados.
Rootkit en modo usuario
Si imaginamos el software de un ordenador como si estuviera organizado en varias capas concéntricas, los programas raíz se ubican en el núcleo mientras que los demás se sitúan en capas de usuarios cada vez más alejadas del centro.
Los rootkits más comunes se ejecutan en estas capas y se definen como modo usuario, pero deben obtener o tener permisos de root. Una vez obtenidos, pueden modificar el espacio de memoria de otras aplicaciones (para ocultar lo que ocurre en el sistema operativo), interceptar las llamadas del sistema y filtrar las interacciones entre ellas API (interfaz de programación de aplicaciones) para ocultar procesos, archivos, controladores del sistema, puertos de red, claves y rutas de registro y servicios del sistema.
Rootkit en modo kernel
Los rootkits en modo kernel son aquellos que se instalan directamente en el kernel. Esto les da acceso total a los servicios del sistema, a la memoria del sistema y al conjunto completo de instrucciones de la CPU. También pueden quitar fácilmente cualquier cosa que pueda facilitar su localización y extracción.
Bootkit o kit de arranque
Una variante de los rootkits en modo kernel son los bootkits, que infectan el código de arranque de un equipo, como el registro de arranque maestro (MBR), el registro de arranque por volumen (VBR) o el sector de arranque.
Un ejemplo es el troyano Mebroot, que copia el MBR original del sector 62 del disco duro, instala su cargador de núcleo en los sectores 60 y 61 y copia un controlador de rootkit cerca del final de la partición de arranque activa. La primera vez que reinicie el equipo, se cargará el controlador del rootkit.
Mebroot no tiene archivos ejecutables, claves de registro ni módulos de controladores, lo que dificulta la detección del software antivirus. También se puede utilizar para atacar los sistemas de cifrado de discos.
Rootkit de firmware o hardware
Los rootkits de firmware o hardware utilizan el firmware de un dispositivo (como un router, una tarjeta de red, un disco duro o la BIOS del sistema) para instalar una imagen persistente del malware. Se elige usar un firmware porque, por lo general, este software no está sujeto a controles de integridad del código.
Instalar y ocultar un rootkit
La instalación de un rootkit puede automatizarse, utilizando programas aparentemente legítimos o llevarse a cabo por actores malintencionados que han robado credenciales administrativas.
Estos datos pueden obtenerse de un pirata informático mediante ataques de fuerza bruta (intentos repetidos tras acceder a una red o un sistema) o mediante tácticas de ingeniería social, como la suplantación de identidad.
Cómo encontrar un rootkit en tu PC
La presencia de rootkits en modo usuario puede detectarse o hacerse detectable mediante software en el kernel que estos malware no pueden alterar. Los rootkits en modo kernel pueden dar señales de su existencia a través de la inestabilidad que pueden causar en los sistemas, lo que debería alertar a los departamentos de seguridad.
Los métodos de detección incluyen la prueba de equipos aparentemente infectados reiniciándolos con un sistema operativo alternativo almacenado en un medio fiable (Alternative trusted medium).
También existen métodos de detección del comportamiento (como la supervisión del uso de la CPU o el tráfico de la red), basados en firmas (escaneo de firmas de virus realizado con un antivirus), detección basada en diferencias (que consiste en comparar los resultados esperados de un sistema con los resultados reales), control de integridad (comprobar que no se ha modificado ningún archivo) y análisis de los volcados de memoria.
Cómo eliminar los rootkits de su computadora: software y consejos
Los programas antivirus más antiguos solían tener dificultades para detectar los rootkits, pero la mayoría de los programas antimalware actuales tienen la capacidad de detectar y eliminar los rootkits a pesar de estar ocultos dentro del sistema.
En los casos en que el rootkit reside en el núcleo, su eliminación puede resultar complicada o prácticamente imposible: volver a instalar el sistema operativo puede ser la única solución disponible al problema. Cuando se trata de rootkits de firmware, su eliminación puede requerir la sustitución del hardware o el uso de equipo especializado por parte de técnicos cualificados.
Fuente: Zerounoweb.it, Network Digital360