¿Cómo funciona la detección de rootkit hoy en día?

Probablemente esté familiarizado con los virus informáticos, el software publicitario, el software espía y otros programas maliciosos, que en su mayor parte se consideran amenazas. Sin embargo, una forma o clase diferente de malware (rootkits) podría ser la más peligrosa de todas. Por 'peligroso', nos referimos al nivel de daño que puede causar el programa malicioso y la dificultad que tienen los usuarios para encontrarlo y eliminarlo.

¿Qué son los rootkits?



Los rootkits son un tipo de malware diseñado para otorgar acceso a los usuarios no autorizados a las computadoras (o ciertas aplicaciones en las computadoras). Los rootkits están programados para permanecer ocultos (fuera de la vista) mientras mantienen el acceso privilegiado. Después de que un rootkit ingresa a una computadora, enmascara fácilmente su presencia y es poco probable que los usuarios lo noten.

¿Cómo daña un rootkit a una PC?

Esencialmente, a través de un rootkit, los ciberdelincuentes pueden controlar su computadora. Con un programa malicioso tan poderoso, pueden obligar a su PC a hacer cualquier cosa. Pueden robar sus contraseñas y otra información confidencial, rastrear todas las actividades u operaciones que se ejecutan en su computadora e incluso deshabilitar su programa de seguridad.



Dadas las impresionantes capacidades de los rootkits para secuestrar o eliminar aplicaciones de seguridad, son bastante difíciles de detectar o confrontar, incluso más que el programa malicioso promedio. Los rootkits pueden existir u operar en las computadoras durante un período prolongado mientras evitan la detección y causan un daño significativo.



A veces, cuando hay rootkits avanzados en juego, los usuarios no tienen más remedio que eliminar todo lo que hay en su computadora y comenzar de nuevo, si quieren deshacerse de los programas maliciosos.

¿Todo malware es un rootkit?

No. En todo caso, solo una pequeña proporción de malware son rootkits. En comparación con otros programas maliciosos, los rootkits son considerablemente avanzados en términos de diseño y programación. Los rootkits pueden hacer mucho más que el malware medio.

Si vamos a seguir definiciones técnicas estrictas, entonces un rootkit no es exactamente una forma o tipo de programa malicioso. Los rootkits simplemente corresponden al proceso utilizado para implementar malware en un objetivo (generalmente una computadora o individuo u organización específicos). Es comprensible que, dado que los rootkits aparecen con bastante frecuencia en las noticias sobre ciberataques o hacks, el término ha llegado a tener una connotación negativa.



Para ser justos, los rootkits se ejecutan de manera bastante similar al malware. Les gusta operar sin restricciones en las computadoras de las víctimas; no quieren que las utilidades protectoras las reconozcan o las encuentren; por lo general, intentan robar cosas de la computadora de destino. En última instancia, los rootkits son amenazas. Por lo tanto, deben ser bloqueados (para evitar que entren en primer lugar) o direccionados (si ya encontraron el camino).

¿Por qué se utilizan o se eligen los rootkits?

Los atacantes emplean rootkits para muchos propósitos, pero la mayoría de las veces, intentan usarlos para mejorar o extender las capacidades de sigilo en el malware. Con mayor sigilo, las cargas útiles maliciosas implementadas en una computadora pueden permanecer sin ser detectadas por más tiempo mientras los programas maliciosos trabajan para exfiltrar o eliminar datos de una red.

Los rootkits son bastante útiles porque proporcionan una forma o plataforma conveniente a través de la cual los actores no autorizados (piratas informáticos o incluso funcionarios gubernamentales) obtienen acceso por la puerta trasera a los sistemas. Los rootkits generalmente logran el objetivo descrito aquí al subvertir los mecanismos de inicio de sesión para obligar a las computadoras a otorgarles acceso de inicio de sesión secreto para otra persona.



Los rootkits también se pueden implementar para comprometer o abrumar una computadora para permitir que el atacante obtenga el control y use el dispositivo como una herramienta para realizar ciertas tareas. Por ejemplo, los piratas informáticos se dirigen a dispositivos con rootkits y los utilizan como bots para ataques DDoS (denegación de servicio distribuida). En tal escenario, si alguna vez se detecta y rastrea la fuente del DDoS, conducirá a la computadora comprometida (la víctima) en lugar de la computadora real responsable (el atacante).

Las computadoras comprometidas que participan en tales ataques se conocen comúnmente como computadoras zombies. Los ataques DDoS no son las únicas cosas malas que hacen los atacantes con las computadoras comprometidas. A veces, los piratas informáticos utilizan las computadoras de sus víctimas para realizar fraudes de clics o para distribuir spam.

Curiosamente, hay escenarios en los que los administradores o personas normales implementan rootkits con buenos propósitos, pero los ejemplos de estos aún son bastante raros. Hemos visto informes sobre algunos equipos de TI que ejecutan rootkits en un honeypot para detectar o reconocer ataques. Bueno, de esta manera, si tienen éxito con las tareas, pueden mejorar sus técnicas de emulación y aplicaciones de seguridad. También podrían adquirir algunos conocimientos, que luego podrían aplicar para mejorar los dispositivos de protección antirrobo.



Sin embargo, si alguna vez tiene que lidiar con un rootkit, lo más probable es que el rootkit se esté utilizando en su contra (o sus intereses). Por lo tanto, es importante que aprenda cómo detectar programas maliciosos en esa clase y cómo defenderse (o su computadora) contra ellos.

Tipos de rootkits

Existen diferentes formas o tipos de rootkits. Podemos clasificarlos según su modo de infección y el nivel en el que operan en las computadoras. Bueno, estos son los tipos de rootkit más comunes:

  1. Rootkit en modo kernel:

Los rootkits en modo kernel son rootkits diseñados para insertar malware en el kernel de los sistemas operativos para alterar la funcionalidad o configuración del sistema operativo. Por 'núcleo', nos referimos a la parte central del sistema operativo que controla o vincula las operaciones entre el hardware y las aplicaciones.

A los atacantes les resulta difícil implementar rootkits en modo kernel porque dichos rootkits tienden a hacer que los sistemas se bloqueen si el código que se usa falla. Sin embargo, si alguna vez logran tener éxito con la implementación, entonces los rootkits podrán hacer un daño increíble porque los núcleos generalmente poseen los niveles de privilegios más altos dentro de un sistema. En otras palabras, con rootkits exitosos en modo kernel, los atacantes obtienen viajes fáciles con las computadoras de sus víctimas.

  1. Rootkit en modo de usuario:

Los rootkits de esta clase son los que se ejecutan actuando como programas ordinarios o regulares. Suelen funcionar en el mismo entorno en el que se ejecutan las aplicaciones. Por esta razón, algunos expertos en seguridad se refieren a ellos como rootkits de aplicaciones.

Los rootkits en modo usuario son relativamente más fáciles de implementar (que los rootkits en modo kernel), pero tienen menos capacidad. Hacen menos daño que los rootkits del kernel. Las aplicaciones de seguridad, en teoría, también encuentran más fácil lidiar con rootkits en modo usuario (en comparación con otras formas o clases de rootkits).

  1. Bootkit (rootkit de arranque):

Los bootkits son rootkits que amplían o mejoran las capacidades de los rootkits normales al infectar el Master Boot Record. Los pequeños programas que se activan durante el inicio del sistema constituyen el Master Boot Record (que a veces se abrevia como MBR). Un bootkit es básicamente un programa que ataca el sistema y trabaja para reemplazar el cargador de arranque normal con una versión pirateada. Dicho rootkit se activa incluso antes de que el sistema operativo de una computadora se inicie y se establezca.

Dado el modo de infección de los bootkits, los atacantes pueden emplearlos en formas de ataque más persistentes porque están configurados para ejecutarse cuando se enciende un sistema (incluso después de un reinicio defensivo). Además, tienden a permanecer activos en la memoria del sistema, que es una ubicación que rara vez analizan las aplicaciones de seguridad o los equipos de TI en busca de amenazas.

  1. Rootkit de memoria:

Un rootkit de memoria es un tipo de rootkit diseñado para esconderse dentro de la RAM de una computadora (un acrónimo de Random Access Memory, que es lo mismo que memoria temporal). Estos rootkits (una vez dentro de la memoria) funcionan para ejecutar operaciones dañinas en segundo plano (sin que los usuarios lo sepan).

Afortunadamente, los rootkits de memoria tienden a tener una vida útil corta. Solo pueden vivir en la RAM de su computadora durante una sesión. Si reinicia su PC, desaparecerán, al menos, en teoría, deberían hacerlo. Sin embargo, en algunos escenarios, el proceso de reinicio no es suficiente; los usuarios pueden terminar teniendo que trabajar un poco para deshacerse de los rootkits de memoria.

  1. Rootkit de hardware o firmware:

Los rootkits de hardware o firmware obtienen su nombre del lugar donde están instalados en las computadoras.

Se sabe que estos rootkits aprovechan el software integrado en el firmware de los sistemas. Firmware se refiere a la clase de programa especial que proporciona control o instrucciones a un nivel bajo para hardware (o dispositivo) específico. Por ejemplo, su computadora portátil tiene firmware (generalmente el BIOS) que fue cargado por su fabricante. Su enrutador también tiene firmware.

Dado que los rootkits de firmware pueden existir en dispositivos como enrutadores y unidades, pueden permanecer ocultos durante mucho tiempo, porque esos dispositivos de hardware rara vez se verifican o inspeccionan para verificar la integridad del código (si es que se verifican). Si los piratas informáticos infectan su enrutador o unidad con un rootkit, podrán interceptar los datos que fluyen a través del dispositivo.

Cómo mantenerse a salvo de los rootkits (consejos para los usuarios)

Incluso los mejores programas de seguridad todavía luchan contra los rootkits, por lo que es mejor que haga lo que sea necesario para evitar que los rootkits ingresen a su computadora en primer lugar. No es tan difícil mantenerse a salvo.

Si sigue las mejores prácticas de seguridad, las posibilidades de que su computadora se infecte con un rootkit se reducen significativamente. Éstos son algunos de ellos:

  1. Descargue e instale todas las actualizaciones:

Simplemente no puede darse el lujo de ignorar las actualizaciones por nada. Sí, entendemos que las actualizaciones de las aplicaciones pueden ser molestas y las actualizaciones de la compilación de su sistema operativo pueden ser molestas, pero no puede prescindir de ellas. Mantener sus programas y sistema operativo actualizados garantiza que obtenga parches para los agujeros de seguridad o vulnerabilidades que los atacantes aprovechan para inyectar rootkits en su computadora. Si los agujeros y las vulnerabilidades se cierran, su PC funcionará mejor.

  1. Tenga cuidado con los correos electrónicos de phishing:

Los correos electrónicos de phishing generalmente son enviados por estafadores que buscan engañarlo para que les proporcione su información personal o detalles confidenciales (detalles de inicio de sesión o contraseñas, por ejemplo). No obstante, algunos correos electrónicos de phishing animan a los usuarios a descargar e instalar algún software (que suele ser malicioso o dañino).

Estos correos electrónicos pueden parecer que provienen de un remitente legítimo o de una persona de confianza, por lo que debe tener cuidado con ellos. No les responda. No haga clic en nada en ellos (enlaces, archivos adjuntos, etc.).

  1. Tenga cuidado con las descargas no deseadas y las instalaciones no deseadas:

Aquí, queremos que prestes atención a las cosas que se descargan en tu computadora. No desea obtener archivos maliciosos o aplicaciones incorrectas que instalen programas maliciosos. También debe tener en cuenta las aplicaciones que instala porque algunas aplicaciones legítimas están empaquetadas con otros programas (que pueden ser maliciosos).

Idealmente, debe obtener solo las versiones oficiales de los programas de las páginas oficiales o los centros de descarga, tomar las decisiones correctas durante las instalaciones y prestar atención a los procesos de instalación de todas las aplicaciones.

  1. Instale una utilidad de protección:

Si un rootkit va a ingresar a su computadora, es probable que su entrada esté relacionada con la presencia o existencia de otro programa malicioso en su computadora. Lo más probable es que una buena aplicación antivirus o antimalware detecte la amenaza original antes de que se introduzca o active un rootkit.

Puede obtener Anti-Malware. Hará bien en depositar algo de fe en la aplicación recomendada porque los buenos programas de seguridad siguen constituyendo su mejor defensa contra todas las formas de amenazas.

Cómo detectar rootkits (y algunos consejos para organizaciones y administradores de TI)

Hay pocas utilidades que sean capaces de detectar y eliminar rootkits. Incluso las aplicaciones de seguridad competentes (conocidas por lidiar con estos programas maliciosos) a veces tienen dificultades o no hacen el trabajo correctamente. Las fallas en la eliminación de rootkits son más comunes cuando el malware existe y opera a nivel del kernel (rootkits en modo kernel).

A veces, la reinstalación del sistema operativo en una máquina es lo único que se puede hacer para deshacerse de un rootkit. Si se trata de rootkits de firmware, es posible que tenga que reemplazar algunas partes de hardware dentro del dispositivo afectado u obtener equipo especializado.

Uno de los mejores procesos de detección de rootkits requiere que los usuarios ejecuten análisis de alto nivel en busca de rootkits. Por 'análisis de nivel superior', nos referimos a un análisis que es operado por un sistema limpio separado mientras la máquina infectada está apagada. En teoría, un escaneo de este tipo debería ser suficiente para verificar las firmas dejadas por los atacantes y debería poder identificar o reconocer algún juego sucio en la red.

También puede utilizar un análisis de volcado de memoria para detectar rootkits, especialmente si sospecha que hay un bootkit, que se engancha en la memoria del sistema para funcionar. Si hay un rootkit en la red de una computadora normal, probablemente no estará oculto si está ejecutando comandos que involucren el uso de memoria, y el Proveedor de Servicios Administrados (MSP) podrá ver las instrucciones que envía el programa malicioso. .

El análisis de comportamiento es otro procedimiento o método confiable que a veces se usa para detectar o rastrear rootkits. Aquí, en lugar de buscar un rootkit directamente al verificar la memoria del sistema u observar las firmas de ataques, debe buscar los síntomas del rootkit en la computadora. Cosas como velocidades de funcionamiento lentas (considerablemente más lentas de lo normal), tráfico de red extraño (que no debería estar allí) y otros patrones de comportamiento desviados comunes deberían revelar los rootkits.

Los proveedores de servicios de administrador pueden implementar el principio de privilegios mínimos (PoLP) como una estrategia especial en los sistemas de sus clientes para tratar o mitigar los efectos de una infección de rootkit. Cuando se utiliza PoLP, los sistemas se configuran para restringir cada módulo en una red, lo que significa que los módulos individuales obtienen acceso solo a la información y los recursos que necesitan para su trabajo (propósitos específicos).

Bueno, la configuración propuesta garantiza una seguridad más estricta entre los brazos de una red. También hace lo suficiente para bloquear la instalación de software malicioso en los núcleos de la red por parte de usuarios no autorizados, lo que significa que evita que los rootkits entren y causen problemas.

Afortunadamente, en promedio, los rootkits están en declive (en comparación con el volumen de otros programas maliciosos que han estado proliferando en los últimos años) porque los desarrolladores mejoran continuamente la seguridad de los sistemas operativos. Las defensas de los endpoints son cada vez más fuertes y se está diseñando una mayor cantidad de CPU (o procesadores) para emplear modos de protección de kernel integrados. Sin embargo, actualmente, los rootkits todavía existen y deben ser identificados, terminados y eliminados dondequiera que se encuentren.