los Rootkits han existido durante casi 20 años, lo que permite a los atacantes obtener acceso y robar datos de las máquinas de los usuarios sin ser detectados durante largos períodos de tiempo. El término se aplica libremente a un subconjunto de herramientas de malware que están diseñadas específicamente para permanecer ocultas en los equipos infectados y permitir que el atacante controle el PC de forma remota. Para ayudar a los usuarios a entender qué es un rootkit y cómo funciona, hemos reunido un Explicador sobre este tipo de malware y qué hacer si uno infecta su computadora.,
definición de Rootkit
Rootkit es un término aplicado a un tipo de malware que está diseñado para infectar un PC objetivo y permitir a un atacante instalar un conjunto de herramientas que le otorgan acceso remoto persistente al equipo. El malware normalmente estará oculto en lo profundo del sistema operativo y estará diseñado para evadir la detección por aplicaciones antimalware y otras herramientas de seguridad., El rootkit puede contener cualquier cantidad de herramientas maliciosas, como un registrador de pulsaciones de teclas, un ladrón de contraseñas, un módulo para robar información de tarjetas de crédito o banca en línea, un bot para ataques DDoS o una funcionalidad que puede desactivar el software de seguridad. Los Rootkits normalmente actúan como una puerta trasera que le da al atacante la capacidad de conectarse de forma remota a la máquina infectada cuando lo desee y eliminar o instalar componentes específicos. Algunos ejemplos de rootkits basados en Windows en uso activo hoy en día incluyen TDSS, ZeroAccess, Alureon y Necurs.,
Variantes de Rootkit
los dos tipos principales de rootkits son los rootkits en modo usuario y los rootkits en modo kernel. Los rootkits en modo usuario están diseñados para ejecutarse en la misma parte del sistema operativo del ordenador que las aplicaciones. Ejecutan su comportamiento malicioso secuestrando procesos de aplicación que se ejecutan en la máquina o sobrescribiendo la memoria que utiliza una aplicación. Este es el más común de los dos tipos. Los rootkits en modo Kernel se ejecutan en el nivel más bajo del sistema operativo del PC y le dan al atacante el conjunto de privilegios más poderoso del equipo., Después de la instalación de un rootkit en modo kernel, y el atacante tendría el control completo de la computadora comprometida y tendría la capacidad de tomar cualquier acción en ella que elija. Los rootkits en modo Kernel típicamente son más complejos que los rootkits en modo usuario y por lo tanto son menos comunes. Este tipo de rootkit también es más difícil de detectar y eliminar.
también hay algunas variantes de rootkit menos comunes, como los bootkits, que están diseñados para modificar el gestor de arranque de la computadora, el software de bajo nivel que se ejecuta antes de que se cargue el sistema operativo. En los últimos años, ha surgido una nueva clase de rootkits móviles para atacar teléfonos inteligentes, específicamente dispositivos Android. Estos rootkits a menudo están asociados con una aplicación maliciosa descargada de una tienda de aplicaciones o foro de terceros.,
método de infección
los Rootkits se instalan a través de una variedad de métodos, pero el vector de infección más común es a través del uso de una vulnerabilidad en el sistema operativo o una aplicación que se ejecuta en el equipo. Los atacantes se dirigen a vulnerabilidades conocidas y desconocidas en el sistema operativo y las aplicaciones y usan código de exploit para obtener una posición privilegiada en el equipo de destino. Luego instalan el rootkit y configuran componentes que permiten el acceso remoto a la computadora. El código de exploit para una vulnerabilidad específica puede estar alojado en un sitio web legítimo que ha sido comprometido., Otro vector de infección es a través de unidades USB infectadas. Los atacantes pueden dejar unidades USB con rootkits ocultos en ellos en lugares donde es probable que sean encontrados y recogidos por las víctimas, tales como edificios de oficinas, cafeterías y centros de conferencias. En algunos casos, la instalación del rootkit puede seguir dependiendo de vulnerabilidades de seguridad, pero en otros, el malware puede instalarse como parte de una aplicación o archivo aparentemente legítimo en la unidad USB.,
eliminación
detectar la presencia de un rootkit en una computadora puede ser difícil, ya que este tipo de malware está diseñado para permanecer oculto y hacer su negocio en segundo plano. Hay utilidades diseñadas para buscar tipos conocidos y desconocidos de rootkits a través de varios métodos, incluyendo el uso de firmas o un enfoque de comportamiento que intenta detectar un rootkit mediante la búsqueda de patrones de comportamiento conocidos. La eliminación de un rootkit es un proceso complejo y normalmente requiere el uso de herramientas especializadas, como la utilidad TDSSKiller de Kaspersky Lab que puede detectar y eliminar el rootkit TDSS., En algunos casos, puede ser necesario que la víctima reinstale el sistema operativo si el equipo está demasiado dañado.