¿Cómo funciona la detección de rootkits hoy en día?

Probablemente esté familiarizado con los virus informáticos, el adware, el spyware y otros programas maliciosos, que en su mayor parte se consideran amenazas. Sin embargo, una forma o clase diferente de malware (rootkits) podría ser el más peligroso de todos. Por "peligroso" nos referimos al nivel de daño que puede causar el programa malicioso y la dificultad que tienen los usuarios para encontrarlo y eliminarlo.

¿Qué son los rootkits?

Los rootkits son un tipo de malware diseñado para otorgar a los usuarios no autorizados acceso a las computadoras (o ciertas aplicaciones en las computadoras). Los rootkits están programados para permanecer ocultos (fuera de la vista) mientras mantienen un acceso privilegiado. Después de que un rootkit ingresa a una computadora, enmascara fácilmente su presencia y es poco probable que los usuarios lo noten.

¿Cómo daña un rootkit una PC?

Esencialmente, a través de un rootkit, los ciberdelincuentes pueden controlar su computadora. Con un programa malicioso tan poderoso, pueden obligar a su PC a hacer cualquier cosa. Pueden robar sus contraseñas y otra información confidencial, rastrear todas las actividades u operaciones que se ejecutan en su computadora e incluso desactivar su programa de seguridad.

Dadas las impresionantes capacidades de los rootkits para secuestrar o desactivar aplicaciones de seguridad, son bastante difíciles de detectar o confrontar, incluso más que el programa malicioso promedio. Los rootkits pueden existir u operar en las computadoras durante un largo período mientras evaden la detección y causan un daño significativo.

A veces, cuando los rootkits avanzados están en juego, los usuarios no tienen más remedio que eliminar todo lo que hay en su computadora y comenzar de nuevo, si quieren deshacerse de los programas maliciosos.

¿Todo malware es un rootkit?

No. En todo caso, solo una pequeña proporción del malware son rootkits. En comparación con otros programas maliciosos, los rootkits están considerablemente avanzados en términos de diseño y programación. Los rootkits pueden hacer mucho más que el malware promedio.

Si nos atenemos a definiciones técnicas estrictas, entonces un rootkit no es exactamente una forma o tipo de programa malicioso. Los rootkits simplemente corresponden al proceso utilizado para implementar malware en un objetivo (generalmente una computadora específica, un individuo u organización). Es comprensible que, dado que los rootkits aparecen con bastante frecuencia en las noticias sobre ciberataques o hackeos, el término ha llegado a tener una connotación negativa.

Para ser justos, los rootkits se ejecutan de manera bastante similar al malware. Les gusta operar sin restricciones en las computadoras de las víctimas; no quieren que las utilidades de protección los reconozcan o los encuentren; por lo general, intentan robar cosas de la computadora de destino. En última instancia, los rootkits son amenazas. Por lo tanto, deben ser bloqueados (para evitar que entren en primer lugar) o abordados (si ya encontraron la forma de entrar).

¿Por qué se utilizan o eligen los rootkits?

Los atacantes emplean rootkits para muchos propósitos, pero la mayoría de las veces, intentan usarlos para mejorar o ampliar las capacidades de ocultamiento del malware. Con un mayor sigilo, las cargas útiles maliciosas implementadas en una computadora pueden permanecer sin ser detectadas por más tiempo mientras los programas maliciosos trabajan para exfiltrar o eliminar datos de una red.

Los rootkits son bastante útiles porque proporcionan una forma o plataforma conveniente a través de la cual los actores no autorizados (piratas informáticos o incluso funcionarios gubernamentales) obtienen acceso de puerta trasera a los sistemas. Los rootkits generalmente logran el objetivo descrito aquí al subvertir los mecanismos de inicio de sesión para obligar a las computadoras a otorgarles acceso de inicio de sesión secreto para otra persona.

Los rootkits también se pueden implementar para comprometer o abrumar una computadora para permitir que el atacante obtenga el control y use el dispositivo como una herramienta para realizar ciertas tareas. Por ejemplo, los piratas informáticos apuntan a dispositivos con rootkits y los utilizan como bots para ataques DDoS (Distributed Denial of Service). En tal escenario, si alguna vez se detecta y rastrea la fuente del DDoS, conducirá a la computadora comprometida (la víctima) en lugar de a la computadora real responsable (el atacante).

Las computadoras comprometidas que participan en tales ataques se conocen comúnmente como computadoras zombies. Los ataques DDoS no son las únicas cosas malas que hacen los atacantes con las computadoras comprometidas. A veces, los piratas informáticos utilizan las computadoras de sus víctimas para realizar fraudes de clics o distribuir spam.

Curiosamente, hay escenarios en los que los administradores o personas normales implementan rootkits con buenos propósitos, pero los ejemplos de estos son bastante raros. Hemos visto informes sobre algunos equipos de TI que ejecutan rootkits en un honeypot para detectar o reconocer ataques. Bueno, de esta manera, si tienen éxito con las tareas, pueden mejorar sus técnicas de emulación y aplicaciones de seguridad. También podrían adquirir algunos conocimientos, que luego podrían aplicar para mejorar los dispositivos de protección antirrobo.

Sin embargo, si alguna vez tiene que lidiar con un rootkit, lo más probable es que el rootkit se esté utilizando en su contra (o en su contra). Por lo tanto, es importante que aprenda cómo detectar programas maliciosos de esa clase y cómo defenderse (o defender su computadora) contra ellos.

Tipos de rootkits

Hay diferentes formas o tipos de rootkits. Podemos clasificarlos según su modo de infección y el nivel en el que operan en los equipos. Bueno, estos son los tipos de rootkit más comunes:

1. Rootkit en modo kernel:

Los rootkits en modo kernel son rootkits diseñados para insertar malware en el kernel de los sistemas operativos para alterar la configuración o la funcionalidad del sistema operativo. Por "núcleo" nos referimos a la parte central del sistema operativo que controla o vincula las operaciones entre el hardware y las aplicaciones.

A los atacantes les resulta difícil implementar rootkits en modo kernel porque tales rootkits tienden a hacer que los sistemas se bloqueen si falla el código que se está utilizando. Sin embargo, si alguna vez logran tener éxito con la implementación, entonces los rootkits podrán causar un daño increíble porque los núcleos generalmente poseen los niveles de privilegio más altos dentro de un sistema. En otras palabras, con los rootkits en modo kernel exitosos, los atacantes se las arreglan fácilmente con las computadoras de sus víctimas.

2. Rootkit en modo usuario:

Los rootkits de esta clase son los que se ejecutan actuando como programas ordinarios o regulares. Suelen funcionar en el mismo entorno en el que se ejecutan las aplicaciones. Por este motivo, algunos expertos en seguridad se refieren a ellos como rootkits de aplicaciones.

Los rootkits en modo usuario son relativamente más fáciles de implementar (que los rootkits en modo kernel), pero su capacidad es menor. Hacen menos daño que los rootkits del kernel. En teoría, a las aplicaciones de seguridad también les resulta más fácil lidiar con los rootkits en modo usuario (en comparación con otras formas o clases de rootkits).

3. Bootkit (rootkit de arranque):

Los bootkits son rootkits que amplían o mejoran las capacidades de los rootkits regulares al infectar el Master Boot Record. Los pequeños programas que se activan durante el inicio del sistema constituyen el Master Boot Record (que a veces se abrevia como MBR). Un bootkit es básicamente un programa que ataca el sistema y funciona para reemplazar el cargador de arranque normal con una versión pirateada. Tal rootkit se activa incluso antes de que el sistema operativo de una computadora se inicie y se estabilice.

Dado el modo de infección de los bootkits, los atacantes pueden emplearlos en formas de ataques más persistentes porque están configurados para ejecutarse cuando se enciende un sistema (incluso después de un reinicio defensivo). Además, tienden a permanecer activos en la memoria del sistema, que es una ubicación que las aplicaciones de seguridad o los equipos de TI rara vez analizan en busca de amenazas.

4. Rootkit de memoria:

Un rootkit de memoria es un tipo de rootkit diseñado para ocultarse dentro de la RAM de una computadora (acrónimo de Random Access Memory, que es lo mismo que memoria temporal). Estos rootkits (una vez dentro de la memoria) luego funcionan para ejecutar operaciones dañinas en segundo plano (sin que los usuarios lo sepan).

Afortunadamente, los rootkits de memoria tienden a tener una vida útil corta. Solo pueden vivir en la memoria RAM de su computadora durante una sesión. Si reinicia su PC, desaparecerán, al menos, en teoría, deberían hacerlo. Sin embargo, en algunos escenarios, el proceso de reinicio no es suficiente; los usuarios podrían terminar teniendo que trabajar un poco para deshacerse de los rootkits de memoria.

5. Rootkit de hardware o firmware:

Los rootkits de hardware o firmware obtienen su nombre del lugar donde se instalan en las computadoras.

Se sabe que estos rootkits aprovechan el software integrado en el firmware de los sistemas. El firmware se refiere a la clase de programa especial que proporciona control o instrucciones a bajo nivel para hardware (o dispositivo) específico. Por ejemplo, su computadora portátil tiene firmware (generalmente el BIOS) que el fabricante cargó en ella. Su enrutador también tiene firmware.

Dado que los rootkits de firmware pueden existir en dispositivos como enrutadores y unidades, pueden permanecer ocultos durante mucho tiempo, porque esos dispositivos de hardware rara vez se verifican o inspeccionan para verificar la integridad del código (si es que se verifican). Si los piratas informáticos infectan su enrutador o unidad con un rootkit, podrán interceptar los datos que fluyen a través del dispositivo.

Cómo mantenerse a salvo de los rootkits (consejos para los usuarios)

Incluso los mejores programas de seguridad aún luchan contra los rootkits, por lo que es mejor que haga lo que sea necesario para evitar que los rootkits ingresen a su computadora en primer lugar. No es tan difícil mantenerse a salvo.

Si sigue las mejores prácticas de seguridad, las posibilidades de que su computadora se infecte con un rootkit se reducen significativamente. Éstos son algunos de ellos:

1. Descargue e instale todas las actualizaciones:

Simplemente no puede darse el lujo de ignorar las actualizaciones por nada. Sí, entendemos que las actualizaciones de las aplicaciones pueden ser molestas y las actualizaciones de la compilación de su sistema operativo pueden ser perturbadoras, pero no puede prescindir de ellas. Mantener sus programas y sistema operativo actualizados garantiza que obtenga parches para los agujeros de seguridad o vulnerabilidades que los atacantes aprovechan para inyectar rootkits en su computadora. Si los agujeros y las vulnerabilidades se cierran, su PC será mejor para ello.

2. Cuidado con los correos electrónicos de phishing:

Los correos electrónicos de phishing generalmente son enviados por estafadores que buscan engañarlo para que les proporcione su información personal o detalles confidenciales (información de inicio de sesión o contraseñas, por ejemplo). Sin embargo, algunos correos electrónicos de phishing alientan a los usuarios a descargar e instalar algún software (que suele ser malicioso o dañino).

Dichos correos electrónicos pueden parecer que provienen de un remitente legítimo o de una persona de confianza, por lo que debe tener cuidado con ellos. No les responda. No haga clic en nada de ellos (enlaces, archivos adjuntos, etc.).

3. Tenga cuidado con las descargas ocultas y las instalaciones no deseadas:

Aquí, queremos que preste atención a las cosas que se descargan en su computadora. No desea obtener archivos maliciosos o malas aplicaciones que instalan programas maliciosos. También debe tener en cuenta las aplicaciones que instala porque algunas aplicaciones legítimas se incluyen con otros programas (que pueden ser maliciosos).

Idealmente, debe obtener solo las versiones oficiales de los programas de las páginas oficiales o los centros de descarga, tomar las decisiones correctas durante las instalaciones y prestar atención a los procesos de instalación de todas las aplicaciones.

4. Instale una utilidad de protección:

Si un rootkit ingresa a su computadora, es probable que su entrada esté relacionada con la presencia o existencia de otro programa malicioso en su computadora. Lo más probable es que una buena aplicación antivirus o antimalware detecte la amenaza original antes de que se introduzca o active un rootkit.

Puede obtener Auslogics Anti-Malware. Hará bien en confiar en la aplicación recomendada porque los buenos programas de seguridad aún constituyen su mejor defensa contra todas las formas de amenazas.

Cómo detectar rootkits (y algunos consejos para organizaciones y administradores de TI)

Hay pocas utilidades que sean capaces de detectar y eliminar rootkits. Incluso las aplicaciones de seguridad competentes (conocidas por tratar con este tipo de programas maliciosos) a veces tienen problemas o no pueden hacer el trabajo correctamente. Las fallas en la eliminación de rootkits son más comunes cuando el malware existe y opera a nivel del kernel (rootkits en modo kernel).

A veces, la reinstalación del sistema operativo en una máquina es lo único que se puede hacer para deshacerse de un rootkit. Si se trata de rootkits de firmware, es posible que tenga que reemplazar algunas piezas de hardware dentro del dispositivo afectado u obtener un equipo especializado.

Uno de los mejores procesos de detección de rootkits requiere que los usuarios ejecuten escaneos de alto nivel en busca de rootkits. Por "escaneo de nivel superior", nos referimos a un escaneo que es operado por un sistema limpio separado mientras la máquina infectada está apagada. En teoría, dicho escaneo debería hacer lo suficiente para verificar las firmas dejadas por los atacantes y debería poder identificar o reconocer algún juego sucio en la red.

También puede utilizar un análisis de volcado de memoria para detectar rootkits, especialmente si sospecha que se trata de un bootkit, que se engancha a la memoria del sistema para funcionar. Si hay un rootkit en la red de una computadora normal, entonces probablemente no estará oculto si está ejecutando comandos que involucran el uso de la memoria, y el proveedor de servicios administrados (MSP) podrá ver las instrucciones que el programa malicioso está enviando. .

El análisis de comportamiento es otro procedimiento o método confiable que a veces se usa para detectar o rastrear rootkits. Aquí, en lugar de buscar un rootkit directamente revisando la memoria del sistema u observando las firmas de ataque, debe buscar síntomas de rootkit en la computadora. Cosas como velocidades de funcionamiento lentas (considerablemente más lentas de lo normal), tráfico de red extraño (que no debería estar allí) y otros patrones de comportamiento desviados comunes deberían delatar a los rootkits.

Los proveedores de servicios de administrador pueden implementar el principio de privilegios mínimos (PoLP) como una estrategia especial en los sistemas de sus clientes para tratar o mitigar los efectos de una infección de rootkit. Cuando se usa PoLP, los sistemas se configuran para restringir cada módulo en una red, lo que significa que los módulos individuales obtienen acceso solo a la información y los recursos que necesitan para su trabajo (propósitos específicos).

Bueno, la configuración propuesta garantiza una mayor seguridad entre los brazos de una red. También hace lo suficiente para bloquear la instalación de software malicioso en los núcleos de la red por parte de usuarios no autorizados, lo que significa que evita que los rootkits entren y causen problemas.

Afortunadamente, en promedio, los rootkits están en declive (en comparación con el volumen de otros programas maliciosos que han proliferado en los últimos años) porque los desarrolladores mejoran continuamente la seguridad de los sistemas operativos. Las defensas de los endpoints son cada vez más fuertes y se está diseñando una mayor cantidad de CPU (o procesadores) para emplear modos de protección de kernel incorporados. Sin embargo, actualmente todavía existen rootkits y deben ser identificados, terminados y eliminados dondequiera que se encuentren.