Rootkit existe desde hace casi 20 años, lo que permite a los piratas informáticos acceder a las máquinas de los usuarios y robar datos sin ser detectados durante largos períodos de tiempo. En 2019, escuchamos varios nombres de ataques como troyanos, virus, gusanos, malware, ransomware. Pero, ¿has oído hablar de la amenaza denominada “Rootkit”? Hoy, vamos a aprender en detalle sobre Rootkit y difundir la conciencia sobre él antes de que se esconda en cualquier ordenador y robe datos.
En este artículo hablamos de:
- ¿Qué es un rootkit?
- ¿Un rootkit siempre se considera malware?
- ¿Qué hace exactamente un rootkit?
- Tipos de rootkits
- ¿Cómo se propaga un rootkit?
- Ejemplos de troyanos que han usado rootkits no-persistentes
- ¿Cómo detectar un rootkit?
- ¿Cómo prevenir ser infectado?
- ¿Qué hacer si tu equipo ya ha sido infectado?
- Ejemplos de infecciones por rootkits
¿Qué es un rootkit?
Un rootkit es un programa de software que suele ser de naturaleza maliciosa, que le da a un actor de amenazas acceso remoto a nivel de raíz y controla un ordenador mientras oculta su presencia en esa máquina. En palabras simples, Rootkit es una actividad maliciosa en la que un atacante puede ver toda la actividad sin que el usuario de la máquina lo sepa.
Es como un agente secreto (es decir, rootkit) que se ha infiltrado en su país (es decir, una computadora) para obtener acceso privilegiado continuo mientras oculta su identidad. Si no se identifica durante años puede destruir y crear caos en el país.
El término rootkit se ha derivado de dos palabras “root” y “kit“. Un rootkit era una colección de herramientas que se usaban para permitir el acceso de nivel de administrador a una computadora / red. Root se refiere a la cuenta de administrador en el sistema Linux y Unix, mientras que el kit se refiere a los componentes de software que implementan la herramienta.
Los rootkits son un tipo de malware y virus altamente sofisticado que proporciona al creador una puerta trasera a los sistemas. Esto le da al creador acceso remoto a nivel de administrador y control sobre un sistema informático o red. Cuando son de naturaleza maliciosa, las amenazas están dirigidas a aplicaciones en modo usuario y, a menudo, desactivan el software antivirus y antimalware.
¿Un rootkit siempre se considera malware?
Técnicamente hablando, los rootkits no son malware en sí mismos, sino más bien un proceso utilizado para implementar malware en un objetivo. Sin embargo, el término tiene una connotación negativa, ya que a menudo se hace referencia a él en relación con los ciberataques.
La forma en que funcionan los rootkits es, en última instancia, similar al malware: se ejecutan sin restricciones en una computadora de destino, no son detectados por los productos de seguridad y los administradores de TI, y trabajan para robar algo de la computadora de destino. Claramente, los rootkits son una amenaza para la seguridad del cliente y deben prevenirse y abordarse.
Pero los rootkits solo son considerados como malware cuando son usados con fines ilegales. Un rootkit puede instalarse en el ordenador para evitar las restricciones integradas por un fabricante, proceso conocido como “jailbreak“. También la policía utiliza rootkits en ocasiones para investigar actividades delictivas.
La detección de un rootkit es difícil, ya que estas amenazas esconden rastros de sí mismas por naturaleza. Los atacantes los usan para poder esconderse y permanecer inactivos durante cualquier período de tiempo, hasta que el atacante ejecute los archivos o cambie las configuraciones.
Un rootkit también se puede usar para espiar el uso de un usuario legítimo, alistar una máquina víctima en una botnet para lanzar ataques DDoS, escalar privilegios, habilitar la persistencia y “llamar a casa” datos confidenciales. Los rootkits que se cargan antes que el sistema operativo son particularmente peligrosos, ya que esto les ayuda a evadir la detección.
¿Qué hace exactamente un rootkit?
Un ataque de rootkit puede ser muy peligroso, ya que puede hacerle casi cualquier cosa a la computadora afectada sin ser descubierto. Un rootkit arranca al mismo tiempo o antes de que arranque el sistema operativo de la computadora, lo que dificulta su detección.
A continuación se muestran algunas de las cosas que puede hacer el rootkit para afectar al usuario.
- Instalar otro malware en la computadora afectada.
- Robar información importante como nombre de usuario, contraseña, información de tarjeta de crédito y otros datos confidenciales.
- Eliminar el código del sistema operativo u otros archivos en una máquina.
- Actividad de espionaje e interceptación de información personal.
- Modificar la configuración del sistema, desactivar la aplicación de seguridad, etc.
Tipos de rootkits
Hay varios tipos de rootkits que se pueden instalar en una máquina de destino. A continuación analizamos los más importantes:
Integrados en el núcleo
También se conocen como Rootkits de nivel de kernel. El kernel es el núcleo del sistema operativo y los rootkits de nivel de kernel se crean agregando código adicional o reemplazando partes del sistema operativo central, con código modificado a través de controladores de dispositivo (en Windows) o módulos de kernel cargables (Linux).
Los rootkits de nivel de kernel pueden tener un efecto grave en la estabilidad del sistema si el código del kit contiene errores. Los rootkits del kernel son difíciles de detectar porque tienen los mismos privilegios del sistema operativo y, por lo tanto, pueden interceptar o subvertir las operaciones del sistema operativo.
A nivel de aplicación
Los rootkits de nivel de aplicación operan dentro de la computadora de la víctima cambiando los archivos de aplicación estándar con archivos de rootkit, o cambiando el comportamiento de las aplicaciones actuales con parches, código inyectado, etc.
Híbridos
En vez de funcionar desde un único sitio, estos rootkits introducen algunos de sus componentes en el nivel de usuario y otros en el kernel. De esta forma, los rootkits híbridos tienen la estabilidad de los rootkits de modo de usuario, pero también el sigilo potenciado de los rootkits del kernel. Estos rootkits híbridos de usuario/kernel son muy usados entre los ciberdelincuentes.
De firmware
Estos rootkits afectan el hardware o firmware, como enrutadores, tarjetas de red, discos duros y el software operativo de entrada básica (BIOS) del sistema.
Virtuales
Los rootkits virtuales se crean mediante la explotación de funciones de hardware como Intel VT o AMD-V (tecnologías de virtualización asistida por hardware). Estos rootkits alojan el sistema operativo de destino como una máquina virtual y, por lo tanto, pueden interceptar todas las llamadas de hardware realizadas por el sistema operativo de destino.
De nivel de cargador de arranque (Bootkit)
Los rootkits de nivel de cargador de arranque (Bootkit) reemplazan o modifican el cargador de arranque legítimo por otro, lo que permite que el nivel de cargador de arranque (Bootkit) se active incluso antes de que se inicie el sistema operativo. Estos Bootkit son una seria amenaza para la seguridad porque se pueden usar para piratear las claves y contraseñas de cifrado.
¿Cómo se propaga un rootkit?
Los rootkits funcionan mediante un proceso llamado modificación: el cambio de los permisos y la seguridad de las cuentas de usuario. Por lo general, este es un proceso que solo otorga un administrador de computadora.
Si bien la modificación se usa a menudo en informática para realizar cambios positivos que buscan mejorar los sistemas, los atacantes que desean un control total usarán la modificación para otorgarse acceso ilimitado para que puedan causar daños. Además, los atacantes tienden a utilizar métodos clandestinos de infección, ya que los rootkits no están diseñados para propagarse por sí mismos.
Además, un atacante puede instalar un rootkit una vez que haya obtenido acceso de administrador o root. Los atacantes pueden obtener este acceso mediante la explotación de vulnerabilidades conocidas, como la escalada de privilegios, o mediante la obtención de contraseñas privadas mediante phishing. Es alarmante que este proceso a veces se pueda automatizar.
Programas que contribuyen a su propagación
Un rootkit no puede infectar los equipos de destino por sí solo. Para difundir un rootkit, los atacantes forman una amenaza combinada para explotar varias vulnerabilidades diferentes e infiltrarse en un sistema. Esto se logra combinando el rootkit con otros dos componentes: un dropper y un loader.
Dropper
Un dropper es un programa o archivo que se usa para instalar un rootkit en una computadora de destino. Los droppers se pueden distribuir de varias maneras, incluso a través de la ingeniería social o un ataque de fuerza bruta, en el que un perpetrador usa un programa para adivinar repetidamente el nombre de usuario y la contraseña raíz de un sistema.
Loader
Un loader (cargador) es un código malicioso que se inicia después de que un usuario inicia el programa dropper, ya sea al abrir o ejecutar un archivo. El cargador aprovecha las vulnerabilidades para garantizar que el rootkit se cargue junto con el sistema de destino. Por ejemplo, un rootkit de nivel de kernel podría usar un cargador que explote una vulnerabilidad de Linux para reemplazar el código del sistema operativo con un módulo de kernel cargable reescrito.
Ejemplos de troyanos que han usado rootkits no-persistentes
En los sistemas UNIX, los rootkits se utilizan como una forma de garantizar el acceso continuo a una computadora remota que ha sido previamente comprometida para, por ejemplo:
- Instale troyanos de puerta trasera a través de los cuales se pueda acceder a la computadora.
- Ocultar aquellas modificaciones que se hayan realizado en la configuración del equipo.
- Ocultar los registros que quedan como registro de intrusión en el sistema.
¿Cómo detectar un rootkit?
Los análisis de rootkit son el mejor intento de detectar una infección de rootkit, probablemente iniciada por tu solución antivirus. El desafío al que te enfrentas cuando un rootkit infecta tu PC es que no necesariamente se puede confiar en el sistema operativo para identificar el rootkit. Son bastante astutos y buenos ocultándose.
Si sospechas de un virus rootkit, una de las mejores estrategias para detectar la infección es apagar la computadora y ejecutar el escaneo desde un sistema limpio conocido.
Los análisis de rootkits también buscan firmas, de forma similar a como detectan virus. Los hackers y los desarrolladores de seguridad juegan a este juego del gato y el ratón para ver quién puede descubrir las nuevas firmas más rápido. Una forma segura de encontrar un rootkit es mediante un análisis de volcado de memoria. Siempre puede ver las instrucciones que un rootkit está ejecutando en la memoria, y ese es un lugar donde no puede esconderse.
El análisis de comportamiento es uno de los otros métodos más fiables para detectar rootkits. En lugar de buscar el rootkit, busca comportamientos similares a los de un rootkit. Los análisis dirigidos funcionan bien si sabes que el sistema se comporta de manera extraña. El análisis de comportamiento te alertará de un rootkit antes de que un humano se dé cuenta de que uno de los servidores está siendo atacado.
¿Cómo prevenir ser infectado?
Existen prácticas que debes tener en cuenta para evitar infecciones por rootkits, como:
- Leer el correo electrónico dos veces y observar la gramática utilizada en un correo electrónico antes de hacer clic en cualquier enlace. El correo electrónico de phishing es una de las armas favoritas del atacante. El correo electrónico de suplantación de identidad hace que descargue paquetes que vienen con rootkits en tu computadora. Siempre debes verificar el encabezado y la dirección de correo electrónico del remitente antes de hacer clic en cualquier enlace. Además, debes leer el correo electrónico dos veces, ya que el correo electrónico de phishing tiene errores gramaticales.
- Descarga los controladores de computadora autorizados. Los controladores de computadora son el punto de entrada más común de un rootkit en el sistema de destino. Por lo tanto, siempre debes usar solo un controlador de computadora autorizado.
- Actualiza el SO, el navegador y el software de seguridad. Estos puntos pueden no verse mejor o pueden parecer ilógicos. Pero el usuario debe mantener actualizado su sistema operativo, navegador y software de seguridad anti-rootkit para evitar un ataque de rootkit.
¿Qué hacer si tu equipo ya ha sido infectado?
Varios tipos de rootkits se ejecutan con un nivel de privilegio más alto que la mayoría de los programas de ciberseguridad, por lo que pueden ser muy difíciles de detectar. Para escanear los sistemas en busca de rootkits, necesitas una herramienta antimalware avanzada que tenga complementos para rootkits. Afortunadamente, las mejores herramientas de software antivirus vienen con un escáner de rootkit integrado y un eliminador, lo que te permite detectar y eliminar un rootkit fácilmente estas amenazas en línea.
Si sospechas que tu sistema puede estar infectado con un rootkit, debes buscar uno o más signos reveladores de una infección. Por lo general, implican un rendimiento más lento y poca RAM, la hora y la fecha incorrectas que se muestran en la esquina inferior derecha de la pantalla, así como la aparición frecuente de la llamada “pantalla azul de la muerte“. Además de esto, algunas o todas las funciones de tu programa antivirus y / o antimalware pueden desactivarse automáticamente en el primer lanzamiento del software infectado con rootkit.
El software antivirus puede tardar muchas horas en completar el proceso, dependiendo de la velocidad de tu computadora, pero también ofrece los mejores métodos para eliminar los archivos maliciosos.
También vale la pena instalar una herramienta de eliminación de malware que ayude a detectar malware como un virus RootKit y eliminarlo antes de que cause algún problema. Cada una de estas herramientas también te ayuda a detectar si RootKit ha instalado otros virus o malware para trabajar junto con él.
También puedes usar Restaurar sistema para regresar a un punto anterior en tu computadora antes de que detectara el virus RootKit. Asegúrate de elegir un período de tiempo en el que sepas que definitivamente no tenías el virus en la computadora.
Dada la naturaleza nefasta de los malware RootKit, si deseas estar seguro de que lo has eliminado correctamente, puede valer la pena considerar un reformateo completo de tu computadora.
Ejemplos de infecciones por rootkits
Durante los últimos 25 años, innumerables rootkits han dejado su huella en la ciberseguridad. Algunos de ellos eran legítimos, como el lanzado por Sony en 2005 para mejorar la protección contra copias de CD de audio o uno similar lanzado por Lenovo en 2015 para instalar software imborrable en sus nuevas computadoras portátiles.
La mayoría de los rootkits, sin embargo, fueron desarrollados por piratas informáticos desconocidos con el objetivo de comprometer las computadoras de las víctimas y obtener su información confidencial para beneficio personal (principalmente financiero) de los piratas informáticos.
Algunos de los ejemplos más notables de rootkits incluyen los siguientes:
- En 2008, redes del crimen organizado de China y Pakistán infectaron a cientos de usuarios de tarjetas de crédito destinados al mercado de Europa occidental con rootkits de firmware. Los rootkits fueron programados para registrar la información de la tarjeta de crédito de las víctimas y enviarla directamente a un servidor ubicado en Pakistán. Los piratas informáticos detrás de este complot lograron robar al menos 10 millones de libras clonando tarjetas de crédito y retirando fondos de las cuentas de las víctimas desprevenidas.
- En 2011, los expertos en ciberseguridad descubrieron ZeroAccess, un rootkit en modo kernel que llegó a infectar a más de 2 millones de computadoras en todo el mundo. En lugar de afectar directamente la funcionalidad de la computadora infectada, este rootkit descarga e instala silenciosamente malware en la máquina infectada y lo convierte en parte de una botnet mundial utilizada por los piratas informáticos para llevar a cabo ataques cibernéticos. A pesar de algunos intentos serios de destruirlo, ZeroAccess permanece activo hasta el día de hoy.
- En 2012, expertos de Irán, Rusia y Hungría descubrieron Flame, un rootkit que se utilizó principalmente para el ciberespionaje en Oriente Medio. Afectando a todo el sistema operativo de la computadora, Flame tiene la capacidad de monitorizar el tráfico de la red, capturar capturas de pantalla y audio de la computadora, e incluso registrar la actividad del teclado. Aunque aún se desconocen los culpables, la investigación reveló que se utilizaron 80 servidores en tres continentes para acceder a las computadoras infectadas.
Los rootkits son uno de los tipos de amenazas de malware más peligrosos que existen. Si una memoria flash de BIOS no puede eliminar el rootkit, es posible que debas deshacerte del PC afectado y ver qué componentes de hardware, si los hay, puedes reutilizar.
El mejor tratamiento para una infección de rootkit es evitar que suceda. Empieza a tomar medidas preventivas ahora, disponiendo de un cortafuegos, ejecutando software anti-malware, utilizando discos duros autorizados, etc.