¿Qué es un rootkit?

what-is-a-rootkit-blog
No es un virus. No es un gusano y no es un troyano. Tampoco es un programa espía y, a pesar de las imágenes que el nombre pueda evocar, definitivamente no es una pieza de maquinaria agrícola. Entonces, ¿qué es exactamente un rootkit?
Si bien están estrechamente asociados con el malware, los rootkits no son intrínsecamente maliciosos. Sin embargo, su capacidad para manipular el sistema operativo de una computadora y proporcionar a los usuarios remotos acceso de administrador ha convertido, como era de esperar, en herramientas populares entre los ciberdelincuentes.
Siga leyendo para obtener más información sobre qué son los rootkits, descubra cómo funcionan y qué puede hacer para proteger su sistema contra esta amenaza cibernética de larga data.

La definición de un rootkit

El término 'rootkit' proviene originalmente del mundo de Unix, donde la palabra 'raíz' se usa para describir a un usuario con el nivel más alto posible de privilegios de acceso, similar a un 'Administrador' en Windows. La palabra 'kit' se refiere al software que otorga acceso de nivel raíz a la máquina. Junte los dos y obtendrá 'rootkit', un programa que le da a alguien, con intenciones legítimas o maliciosas, acceso privilegiado a una computadora.
Debido a que es capaz de realizar cambios en el nivel más fundamental, un rootkit puede ocultarse, ejecutar archivos, realizar cambios en un sistema y rastrear su uso sin que el propietario original esté al tanto de su presencia.
Históricamente, los rootkits estaban confinados al mundo de Unix y Linux, pero eventualmente se dirigieron al sistema operativo Windows, comenzando con NTRootkit, un troyano que apunta a Windows NT que fue detectado por primera vez en 1999. Desde entonces, los rootkits han crecido rápidamente en la popularidad en Windows y en la actualidad es una plaga común y obstinada en el mundo digital.

¿Cómo funcionan los rootkits?

rootkit-content-breaker-1
Los rootkits no se pueden propagar por sí mismos y, en su lugar, dependen de tácticas clandestinas para infectar su computadora. Por lo general, se diseminan ocultándose en software desviado que puede parecer legítimo y que en realidad podría ser funcional. Sin embargo, cuando otorga el permiso de software para instalarse en su sistema, el rootkit se cuela silenciosamente en el interior donde puede permanecer inactivo hasta que el hacker lo active. Los rootkits son notoriamente difíciles de detectar y eliminar debido a su capacidad de ocultarse a los usuarios, administradores y muchos tipos de productos de seguridad. En pocas palabras, una vez que un sistema se ve comprometido con un rootkit, el potencial de actividad maliciosa es alto.
Otros vectores comunes de infección incluyen estafas de phishing por correo electrónico, descargas de sitios web dudosos y conexión a discos compartidos comprometidos. Es importante tener en cuenta que los rootkits no siempre requieren la ejecución de un archivo ejecutable; a veces, algo tan simple como abrir un documento PDF o Word malicioso es suficiente para liberar un rootkit.
Hay cuatro tipos principales de rootkits:

1. rootkits del kernel

Los rootkits de Kernel están diseñados para cambiar la funcionalidad de su sistema operativo. Estos tipos de rootkits generalmente agregan su propio código (y algunas veces sus propias estructuras de datos) a partes del núcleo del sistema operativo (conocido como kernel). Crear un rootkit de kernel efectivo es bastante complejo y, si se implementa incorrectamente, puede tener un impacto notable en el rendimiento del sistema. La buena noticia es que la mayoría de los rootkits de kernel son más fáciles de detectar que otros tipos de rootkits.
Quizás el ejemplo más infame de un rootkit Kernel es ZeroAccess . El programa permitió a sus desarrolladores construir una botnet compuesta de aproximadamente 1 a 2 millones de máquinas infectadas que luego fueron utilizadas para minar bitcoin o cometer fraude de clics. En su punto álgido, los expertos estiman que los botnets de ZeroAccess cuestan a los anunciantes unos asombrosos $ 900,000 por día.

2. Rootkits de modo de usuario

Los rootkits de modo de usuario se inician como un programa de la manera normal durante el inicio del sistema o se inyectan en el sistema mediante un cuentagotas. Existen muchos métodos posibles y dependen en gran medida del sistema operativo utilizado. Mientras que los rootkits de Windows tienden a centrarse en la manipulación de la funcionalidad básica de los archivos DLL de Windows, en los sistemas Unix es común que una aplicación completa sea completamente reemplazada.
SmartService es un excelente ejemplo de un rootkit en modo usuario. Elevándose hasta la prominencia a mediados de 2017, SmartService le impide lanzar muchos productos antivirus, actuando esencialmente como guardaespaldas de adware y troyanos que ya existen en la máquina.

3. rootkits del gestor de arranque

Los rootkits de Bootloader se dirigen a los bloques de construcción de su computadora al infectar el Registro maestro de arranque (un sector fundamental que instruye a su computadora sobre cómo cargar el sistema operativo). Estos tipos de rootkits son particularmente difíciles de exterminar porque, si el gestor de arranque ha inyectado código en el MBR, su eliminación podría dañar su computadora.
Petya, un ciberataque importante de ransomware que afectó a varias organizaciones clave en todo el mundo en 2017, es uno de los rootkits más memorables de los últimos tiempos. Después de infectar una máquina, el ransomware instala su propio sistema operativo en el MBR. Después de que se inicia, Petya ransomware encripta la Tabla Maestra de Archivos, impidiendo efectivamente que el usuario lea el contenido de la unidad, a menos que ahorren $ 300 en bitcoins.

4. rootkits de memoria

Estos tipos de rootkits existen en la memoria de su computadora (RAM). A diferencia de otros tipos de rootkits que pueden almacenarse en su computadora durante años y años sin su conocimiento, los rootkits de memoria se pierden cuando reinicia su computadora debido al hecho de que el contenido de su memoria RAM se reinicia al inicio.
Aunque existen muchos tipos diferentes de rootkits, la mayoría están diseñados con la misma tarea en mente: eliminar rastros de sí mismo (o del software que lo acompaña) en el sistema operativo. Pueden hacer esto de muchas maneras. Por ejemplo, Windows tiene una función integrada responsable de enumerar los contenidos de las carpetas. Un rootkit podría modificar esta función básica (API) para que nunca se muestre el nombre del archivo que contiene el rootkit, lo que haría que el archivo se vuelva invisible para el usuario normal. Mediante la manipulación de otras API de Windows, no solo se pueden ocultar los archivos y carpetas, sino también los programas activos, los puertos de comunicación de red que se están utilizando o las claves de registro. Por supuesto, estas son solo algunas de las muchas medidas de camuflaje utilizadas por los rootkits.

¿Deben los rootkits considerarse un malware?

rootkit-content-breaker-2
Como mencionamos anteriormente, los rootkits son comúnmente utilizados por los distribuidores de malware, pero ¿los convierte en maliciosos por sí mismos?
En una palabra: No. Los rootkits no son inherentemente peligrosos. Su único propósito es ocultar el software y los rastros que quedan en el sistema operativo. Si el software que se oculta es un programa legítimo o malicioso es otra historia.
Ha habido muchos ejemplos de rootkits legítimos a lo largo de los años, y uno de los casos más famosos es el del sistema de protección de copia de CD de Sony BMG. En 2005, el especialista de Windows Mark Russinovich descubrió que el simple uso de un CD Sony BMG protegido con este sistema provocaba la instalación automática de un software sin la aprobación del usuario, que no aparecía en la lista de procesos y no podía desinstalarse ( es decir, se escondió del usuario). Este software de protección contra copia originalmente estaba destinado a evitar que un comprador de CD de música lea los datos de audio de cualquier manera y luego posiblemente redistribuya ilegalmente.
Si bien pueden tener aplicaciones legítimas, se debe decir que los ciberdelincuentes son los que más se han beneficiado de aprovechar el poder de los rootkits. Debido a que los rootkits se pueden usar para ocultar procesos en ejecución, archivos y carpetas de almacenamiento, los hackers a menudo los usan para ocultar el software malicioso de los usuarios y dificultar que los productos antivirus detecten y eliminen los programas ofensivos. Los rootkits también se utilizan comúnmente para los registradores de pulsaciones de teclas, ya que pueden ubicarse entre su sistema operativo y el hardware de su computadora, y mantienen las pestañas en cada tecla que oprime. Además, los piratas informáticos han utilizado rootkits para crear enormes redes de bots compuestas por millones de máquinas , que ponen a trabajar en la criptomoneda, lanzando ataques DDoS masivos y llevando a cabo otras campañas ilegales a gran escala.

Cómo Emsisoft combate los rootkits

Los productos antivirus que dependen de la firma luchan para detectar rootkits. Muchos rootkits son más que capaces de ocultarse de los escáneres de virus y otros sistemas de desinfección, lo que hace que sea casi imposible que un software antivirus analice y trate las firmas correspondientes.
Afortunadamente, Emsisoft Anti-Malware opera con un principio diferente. En lugar de confiar en identificar una firma que coincida, el Bloqueador de comportamiento de Emsisoft Anti-Malware puede reconocer intentos maliciosos de obtener acceso a funciones relevantes del sistema y detener el programa ofensivo antes de que pueda realizar cambios en el sistema.
Este enfoque innovador para combatir rootkits y malware permite a Emsisoft Anti-Malware detectar y bloquear todo tipo de ataques digitales, incluidas las amenazas que nunca antes había tenido.
 
¡Que tengas un buen día (libre de malware)!

Artículo tomado de: https://blog.emsisoft.com/2018/01/10/rootkits/ 

Comentarios

Entradas populares de este blog

Las 10 mejores resoluciones de seguridad tecnológica de Año Nuevo

Cómo eliminar el ransomware de la manera correcta: una guía paso a paso

Cómo crear, gestionar y almacenar contraseñas de forma segura