¿Qué es un Rootkit?
No es un virus. No es un gusano y no es un troyano. Tampoco es un programa espía y, a pesar de las imágenes que el nombre pueda evocar, definitivamente no es una pieza de maquinaria agrícola. Entonces, ¿qué es exactamente un rootkit?
Si bien están estrechamente asociados con el malware, los rootkits no son intrínsecamente maliciosos. Sin embargo, su capacidad para manipular el sistema operativo de una computadora y proporcionar a los usuarios remotos acceso de administrador ha convertido, como era de esperar, en herramientas populares entre los ciberdelincuentes.
Siga leyendo para obtener más información sobre qué son los rootkits, descubra cómo funcionan y qué puede hacer para proteger su sistema contra esta amenaza cibernética de larga data.
La Definición de un Rootkit
El término 'rootkit' proviene originalmente del mundo de Unix, donde la palabra 'raíz' se usa para describir a un usuario con el nivel más alto posible de privilegios de acceso, similar a un 'Administrador' en Windows. La palabra 'kit' se refiere al software que otorga acceso de nivel raíz a la máquina. Junte los dos y obtendrá 'rootkit', un programa que le da a alguien, con intenciones legítimas o maliciosas, acceso privilegiado a una computadora.
Debido a que es capaz de realizar cambios en el nivel más fundamental, un rootkit puede ocultarse, ejecutar archivos, realizar cambios en un sistema y rastrear su uso sin que el propietario original esté al tanto de su presencia.
Históricamente, los rootkits estaban confinados al mundo de Unix y Linux, pero eventualmente se dirigieron al sistema operativo Windows, comenzando con NTRootkit, un troyano que apunta a Windows NT que fue detectado por primera vez en 1999. Desde entonces, los rootkits han crecido rápidamente en la popularidad en Windows y en la actualidad es una plaga común y obstinada en el mundo digital.
¿Cómo funcionan los Rootkits?
Los rootkits no se pueden propagar por sí mismos y, en su lugar, dependen de tácticas clandestinas para infectar su computadora. Por lo general, se diseminan ocultándose en software desviado que puede parecer legítimo y que en realidad podría ser funcional. Sin embargo, cuando otorga el permiso de software para instalarse en su sistema, el rootkit se cuela silenciosamente en el interior donde puede permanecer inactivo hasta que el hacker lo active. Los rootkits son notoriamente difíciles de detectar y eliminar debido a su capacidad de ocultarse a los usuarios, administradores y muchos tipos de productos de seguridad. En pocas palabras, una vez que un sistema se ve comprometido con un rootkit, la posibilidad de actividad maliciosa es alta.
Otros vectores comunes de infección incluyen estafas de phishing por correo electrónico, descargas de sitios web dudosos y conexión a unidades compartidas comprometidas. Es importante tener en cuenta que los rootkits no siempre requieren la ejecución de un archivo ejecutable; a veces, algo tan simple como abrir un documento PDF o Word malicioso es suficiente para liberar un rootkit.
Hay cuatro tipos principales de rootkits:
1. Rootkits del Kernel
Los rootkits de Kernel están diseñados para cambiar la funcionalidad de su sistema operativo. Estos tipos de rootkits generalmente agregan su propio código (y algunas veces sus propias estructuras de datos) a partes del núcleo del sistema operativo (conocido como kernel). Crear un rootkit de kernel efectivo es bastante complejo y, si se implementa incorrectamente, puede tener un impacto notable en el rendimiento del sistema. La buena noticia es que la mayoría de los rootkits de kernel son más fáciles de detectar que otros tipos de rootkits.
SmartService es un excelente ejemplo de un rootkit de kernel. Elevándose hasta la prominencia a mediados de 2017, SmartService le impide lanzar muchos productos antivirus, actuando esencialmente como guardaespaldas de adware y troyanos que ya existen en la máquina.
2. Rootkits de Modo de Usuario
Los rootkits de modo de usuario se inician como un programa de la manera normal durante el inicio del sistema o se inyectan en el sistema mediante un cuentagotas. Existen muchos métodos posibles y dependen en gran medida del sistema operativo utilizado. Mientras que los rootkits de Windows tienden a centrarse en la manipulación de la funcionalidad básica de los archivos DLL de Windows, en los sistemas Unix es común que una aplicación completa sea completamente reemplazada.
Los rootkits de modo de usuario son muy populares en el malware financiero en estos días. Uno de los malware financieros más copiados llamado Carberp incluye esta técnica y también tuvo sus códigos fuente filtrados hace varios años, por lo que su componente de usuario rootkit ha sido reciclado una y otra vez y se puede encontrar en muchas familias de malware financiero hasta el día de hoy.
3. Rootkits del Gestor de Arranque
Los rootkits o bootkits de Bootloader se dirigen a los bloques de construcción de su computadora al infectar el Registro maestro de arranque (un sector fundamental que instruye a su computadora sobre cómo cargar el sistema operativo). Estos tipos de rootkits son particularmente difíciles de exterminar porque, si el gestor de arranque ha inyectado código en el MBR, su eliminación podría dañar su computadora.
Los sistemas operativos modernos como Windows 8 y 10 se han vuelto casi completamente inmunes a este tipo de rootkits debido a la introducción de Secure Boot. Como resultado, los bootkits están casi extintos. La familia de bootkits más destacada debe ser la familia Alureon / TDL-4 que estuvo activa de 2007 a 2012. Durante su vida útil, el malware Alureon protegido por su componente bootkit logró convertirse en la segunda botnet más activa antes de que sus creadores fueran arrestados al final. de 2011.
4. Rootkits de Memoria
Estos tipos de rootkits existen en la memoria de su computadora (RAM). A diferencia de otros tipos de rootkits que pueden almacenarse en su computadora durante años y años sin su conocimiento, los rootkits de memoria se pierden cuando reinicia su computadora debido al hecho de que el contenido de su memoria RAM se reinicia al inicio.
Aunque existen muchos tipos diferentes de rootkits, la mayoría están diseñados con la misma tarea en mente: eliminar rastros de sí mismo (o del software que lo acompaña) en el sistema operativo. Pueden hacer esto de muchas maneras. Por ejemplo, Windows tiene una función integrada responsable de enumerar los contenidos de las carpetas. Un rootkit podría modificar esta función básica (API) para que nunca se muestre el nombre del archivo que contiene el rootkit, lo que haría que el archivo se vuelva invisible para el usuario normal. Mediante la manipulación de otras API de Windows, no solo se pueden ocultar los archivos y carpetas, sino también los programas activos, los puertos de comunicación de red que se están utilizando o las claves de registro. Por supuesto, estas son solo algunas de las muchas medidas de camuflaje utilizadas por los rootkits.
¿Deben los Rootkits considerarse un Malware?
Como mencionamos anteriormente, los rootkits son comúnmente utilizados por los distribuidores de malware, pero ¿los convierte en maliciosos por sí mismos?
En una palabra: No. Los rootkits no son inherentemente peligrosos. Su único propósito es ocultar el software y los rastros que quedan en el sistema operativo. Si el software que se oculta es un programa legítimo o malicioso es otra historia.
Ha habido muchos ejemplos de rootkits legítimos a lo largo de los años, y uno de los casos más famosos es el del sistema de protección de copia de CD de Sony BMG. En 2005, el especialista de Windows Mark Russinovich descubrió que el simple uso de un CD Sony BMG protegido con este sistema provocaba la instalación automática de un software sin la aprobación del usuario, que no aparecía en la lista de procesos y no podía desinstalarse ( es decir, se escondió del usuario). Este software de protección contra copia originalmente estaba destinado a evitar que un comprador de CD de música lea los datos de audio de cualquier manera y luego posiblemente redistribuya ilegalmente.
Si bien pueden tener aplicaciones legítimas, se debe decir que los ciberdelincuentes son los que más se han beneficiado de aprovechar el poder de los rootkits. Debido a que los rootkits se pueden usar para ocultar procesos en ejecución, archivos y carpetas de almacenamiento, los hackers a menudo los utilizan para ocultar el software malicioso de los usuarios y dificultar que los productos antivirus detecten y eliminen los programas ofensivos. Los rootkits también se utilizan comúnmente para los registradores de pulsaciones de teclas, ya que pueden ubicarse entre su sistema operativo y el hardware de su computadora, y mantienen las pestañas en cada tecla que oprime. Además, los piratas informáticos han utilizado rootkits para crear botnets enormes compuestas por millones de máquinas, que ponen a trabajar en la criptomoneda, lanzando ataques DDoS masivos y llevando a cabo otras campañas ilegales a gran escala.
Cómo Emsisoft Combate los Rootkits
Los productos antivirus que dependen de la firma luchan para detectar rootkits. Muchos rootkits son más que capaces de ocultarse de los escáneres de virus y otros sistemas de desinfección, lo que hace que sea casi imposible que un software antivirus analice y trate las firmas correspondientes.
Afortunadamente, Emsisoft Anti-Malware opera con un principio diferente. En lugar de confiar en la identificación de una firma que coincida, el Bloqueador de comportamiento de Emsisoft Anti-Malware puede reconocer los intentos maliciosos de obtener acceso a funciones relevantes del sistema y detener el programa infractor antes de que pueda realizar cambios en el sistema.
Este enfoque innovador para combatir rootkits y malware permite a Emsisoft Anti-Malware detectar y bloquear todo tipo de ataques digitales, incluidas las amenazas que nunca antes había tenido.
¡Que tengas un buen día (libre de malware)!
