Que es rootkit? ¿Cómo funcionan los rootkits?? Rootkits explicado.

Si bien es posible ocultar el malware de una manera que engañará incluso a los productos antivirus / antispyware tradicionales, la mayoría de los programas de malware ya están usando rootkits para ocultarse profundamente en su PC con Windows ... y se están volviendo más peligrosos! El rootkit DL3 es uno de los rootkits más avanzados jamás vistos en la naturaleza. El rootkit era estable y podía infectar sistemas operativos Windows de 32 bits; aunque se necesitaban derechos de administrador para instalar la infección en el sistema. Pero TDL3 ahora se ha actualizado y ahora puede infectar incluso versiones de 64 bits Windows!

Que es rootkit

Un virus Rootkit es un tipo de malware sigiloso que está diseñado para ocultar la existencia de ciertos procesos o programas en su computadora de los métodos de detección regulares, para permitirle a él u otro proceso malicioso acceso privilegiado a su computadora.

Rootkits para Windows se utilizan normalmente para ocultar software malintencionado de, por ejemplo, un programa antivirus. Se utiliza con fines maliciosos por virus, gusanos, puertas traseras y software espía. Un virus combinado con un rootkit produce lo que se conoce como virus sigilosos completos. Los rootkits son más comunes en el campo del software espía, y ahora también se están volviendo más utilizados por los autores de virus.

Ahora son un tipo emergente de Super Spyware que se esconde de manera efectiva e impacta directamente en el kernel del sistema operativo. Se utilizan para ocultar la presencia de objetos maliciosos como troyanos o registradores de pulsaciones de teclas en su computadora. Si una amenaza utiliza la tecnología rootkit para ocultarse, es muy difícil encontrar el malware en su PC.

Los rootkits en sí mismos no son peligrosos. Su único propósito es ocultar el software y los rastros que quedan en el sistema operativo. Si se trata de software normal o programas maliciosos.

Básicamente hay tres tipos diferentes de Rootkit. El primer tipo, el "Rootkits de kernel"Generalmente agregan su propio código a partes del núcleo del sistema operativo, mientras que el segundo tipo, el"Rootkits en modo de usuario"Están especialmente diseñados para que Windows se inicie normalmente durante el inicio del sistema, o se inyectan en el sistema mediante un llamado" cuentagotas ". El tercer tipo es Rootkits o Bootkits de MBR.

Cuando encuentre que su AntiVirus & AntiSpyware falla, es posible que necesite la ayuda de un buena utilidad anti-rootkit. RootkitRevealer de Microsoft Sysinternals es una utilidad avanzada de detección de rootkits. Su salida enumera las discrepancias de la API del sistema de archivos y del registro que pueden indicar la presencia de un rootkit en modo de usuario o en modo de kernel.

Informe de amenazas del Centro de protección contra malware de Microsoft sobre rootkits

Microsoft Malware Protection Center ha puesto a disposición para descargar su Informe de amenazas sobre rootkits. El informe examina uno de los tipos más insidiosos de malware que amenaza a las organizaciones y a las personas en la actualidad: el rootkit. El informe examina cómo los atacantes utilizan rootkits y cómo funcionan los rootkits en los equipos afectados. Aquí hay una parte esencial del informe, comenzando con lo que son los rootkits, para principiantes.

Rootkit es un conjunto de herramientas que utiliza un atacante o un creador de malware para obtener control sobre cualquier sistema expuesto / no seguro que, de lo contrario, normalmente está reservado para un administrador del sistema. En los últimos años, el término 'ROOTKIT' o 'FUNCIONALIDAD DE ROOTKIT' ha sido reemplazado por MALWARE, un programa diseñado para tener efectos no deseados en una computadora sana. La función principal del malware es retirar datos valiosos y otros recursos de la computadora de un usuario en secreto y proporcionárselos al atacante, dándole así un control total sobre la computadora comprometida. Además, son difíciles de detectar y eliminar y pueden permanecer ocultos durante períodos prolongados, posiblemente años, si pasan desapercibidos.

Entonces, naturalmente, los síntomas de una computadora comprometida deben enmascararse y tomarse en consideración antes de que el resultado sea fatal. En particular, se deben tomar medidas de seguridad más estrictas para descubrir el ataque. Pero, como se mencionó, una vez que estos rootkits / malware están instalados, sus capacidades de sigilo dificultan su eliminación y los componentes que podría descargar. Por este motivo, Microsoft ha creado un informe sobre ROOTKITS.

El informe de 16 páginas describe cómo un atacante usa rootkits y cómo funcionan estos rootkits en las computadoras afectadas.

El único propósito del informe es identificar y examinar de cerca el malware potente que amenaza a muchas organizaciones, en particular a los usuarios de computadoras. También menciona algunas de las familias de malware predominantes y saca a la luz el método que utilizan los atacantes para instalar estos rootkits para sus propios fines egoístas en sistemas saludables. En el resto del informe, encontrará expertos que hacen algunas recomendaciones para ayudar a los usuarios a mitigar la amenaza de los rootkits.

Tipos de rootkits

Hay muchos lugares donde el malware puede instalarse en un sistema operativo. Entonces, principalmente el tipo de rootkit está determinado por su ubicación donde realiza su subversión de la ruta de ejecución. Esto incluye:

1. Rootkits de modo de usuario
2. Rootkits en modo kernel
3. Rootkits / bootkits de MBR

El posible efecto de un compromiso de rootkit en modo kernel se ilustra a través de una captura de pantalla a continuación.

El tercer tipo, modifica el Master Boot Record para obtener el control del sistema e iniciar el proceso de carga en el punto más temprano posible en la secuencia de arranque3. Oculta archivos, modificaciones de registro, evidencia de conexiones de red así como otros posibles indicadores que pueden indicar su presencia.

Familias de malware notables que utilizan la funcionalidad Rootkit

• Win32 / Sinowal13.Una familia de malware de varios componentes que intenta robar datos confidenciales, como nombres de usuario y contraseñas para diferentes sistemas. Esto incluye intentar robar los detalles de autenticación de una variedad de cuentas de correo electrónico, HTTP y FTP, así como las credenciales utilizadas para la banca en línea y otras transacciones financieras.
• Win32 / Cutwail15 - Un troyano que descarga y ejecuta archivos arbitrarios. Los archivos descargados pueden ejecutarse desde el disco o inyectarse directamente en otros procesos. Si bien la funcionalidad de los archivos descargados es variable, Cutwail generalmente descarga otros componentes que envían spam. Utiliza un rootkit en modo kernel e instala varios controladores de dispositivo para ocultar sus componentes a los usuarios afectados.
• Win32 / Rustock - Una familia de varios componentes de troyanos de puerta trasera habilitados para rootkit, inicialmente desarrollada para ayudar en la distribución de correo electrónico "spam" a través de un botnet. Una botnet es una gran red de computadoras comprometidas controlada por atacantes.

Protección contra rootkits

Evitar la instalación de rootkits es el método más eficaz para evitar la infección por rootkits. Para ello, es necesario invertir en tecnologías de protección como productos antivirus y cortafuegos. Dichos productos deben adoptar un enfoque integral de protección mediante el uso de detección tradicional basada en firmas, detección heurística, capacidad de firma dinámica y receptiva y monitoreo de comportamiento.

Todos estos conjuntos de firmas deben mantenerse actualizados mediante un mecanismo de actualización automatizado. Las soluciones antivirus de Microsoft incluyen una serie de tecnologías diseñadas específicamente para mitigar los rootkits, incluida la supervisión del comportamiento del kernel en vivo que detecta e informa sobre los intentos de modificar el kernel de un sistema afectado, y el análisis directo del sistema de archivos que facilita la identificación y eliminación de controladores ocultos.

Si se descubre que un sistema está comprometido, una herramienta adicional que le permita arrancar en un entorno bueno o confiable conocido puede resultar útil, ya que puede sugerir algunas medidas de reparación adecuadas.

Bajo tales circunstancias,

1. La herramienta Standalone System Sweeper (parte del conjunto de herramientas de diagnóstico y recuperación de Microsoft (DaRT)
2. Windows Defender Offline puede ser útil.

Para obtener más información, puede descargar el informe en PDF del Centro de descarga de Microsoft.