un rootkit es un programa o, más a menudo, una colección de herramientas de software que le da a un actor de amenaza acceso remoto y control sobre una computadora u otro sistema. Si bien ha habido usos legítimos para este tipo de software, como proporcionar soporte remoto para el usuario final, la mayoría de los rootkits abren una puerta trasera en los sistemas de las víctimas para introducir software malicioso, como virus, ransomware, programas de keylogger u otros tipos de malware, o para usar el sistema para otros ataques de seguridad de la red., Los Rootkits a menudo intentan evitar la detección de software malicioso por parte del software antivirus de endpoint.
los Rootkits se pueden instalar de varias maneras, incluyendo ataques de phishing o tácticas de ingeniería social para engañar a los usuarios para que den permiso al rootkit para ser instalado en el sistema de la víctima, a menudo dando acceso a administradores de ciberdelincuentes remotos al sistema.
Una vez instalado, un rootkit le da al actor remoto acceso y control sobre casi todos los aspectos del sistema operativo (so)., Los programas antivirus más antiguos a menudo tenían problemas para detectar rootkits, pero la mayoría de los programas antimalware de hoy en día tienen la capacidad de escanear y eliminar rootkits ocultos dentro de un sistema.
cómo funcionan los rootkits
dado que los rootkits no pueden propagarse por sí mismos, dependen de métodos clandestinos para infectar computadoras. Por lo general, se propagan escondiéndose en software que puede parecer legítimo y en realidad podría proporcionar funciones legítimas.,
cuando los usuarios dan permiso a un programa de instalación de rootkit para ser instalado en su sistema, el rootkit se instala subrepticiamente también y se oculta hasta que un hacker lo activa. Un rootkit contendrá herramientas maliciosas, incluidos ladrones de credenciales bancarias, ladrones de contraseñas, keyloggers, deshabilitadores antivirus y bots para ataques distribuidos de denegación de servicio.,
los Rootkits generalmente se instalan a través de los mismos vectores comunes que cualquier software malicioso, incluyendo campañas de phishing por correo electrónico, archivos maliciosos ejecutables, archivos PDF maliciosos elaborados o documentos de Word, conectándose a unidades compartidas que se han visto comprometidas o descargando software infectado con el rootkit desde sitios web riesgosos.,
síntomas de infección de rootkit
uno de los objetivos principales de un rootkit es evitar la detección con el fin de permanecer instalado y accesible en el sistema de la víctima, por lo que los desarrolladores de rootkit apuntan a mantener su malware indetectable, lo que significa que no puede haber muchos síntomas detectables que marcan una infección de rootkit.
un síntoma común de una infección de rootkit es que la protección antimalware deja de funcionar. Una aplicación antimalware que simplemente deja de ejecutarse indica que hay una infección activa de rootkit.,
otro síntoma de una infección de rootkit se puede observar cuando la configuración de Windows cambia de forma independiente, sin ninguna acción aparente por parte del usuario. Otro comportamiento inusual, como el cambio o desaparición de imágenes de fondo en la pantalla de bloqueo o el cambio de elementos anclados en la barra de tareas, también podría indicar una infección de rootkit.
finalmente, un rendimiento inusualmente lento o un alto uso de CPU y redirecciones del navegador también pueden indicar la presencia de una infección de rootkit.,
tipos de rootkits
Hay varios tipos diferentes de rootkits caracterizados por la forma en que el rootkit infecta, Opera o persiste en el sistema de destino.
un rootkit de modo kernel está diseñado para cambiar la funcionalidad de un sistema operativo. Este tipo de rootkit normalmente agrega su propio código-y, a veces, sus propias estructuras de datos-a partes del núcleo del sistema operativo, conocido como el núcleo., Muchos rootkits de modo kernel explotan el hecho de que los sistemas operativos permiten que los controladores de dispositivo o módulos cargables se ejecuten con el mismo nivel de privilegios del sistema que el núcleo del sistema operativo, por lo que los rootkits se empaquetan como controladores de dispositivo o módulos para evitar la detección por software antivirus.
un rootkit de modo de usuario, también a veces llamado rootkit de aplicación, se ejecuta de la misma manera que un programa de usuario ordinario. Los rootkits en modo usuario pueden ser inicializados como otros programas ordinarios durante el inicio del sistema, o pueden ser inyectados en el sistema por un cuentagotas. El método depende del sistema operativo., Por ejemplo, un rootkit de Windows normalmente se centra en manipular la funcionalidad básica de los archivos de la biblioteca de enlaces dinámicos de Windows, pero en un sistema Unix, una aplicación completa puede ser reemplazada por el rootkit.
un bootkit, o rootkit del cargador de arranque, infecta el registro de arranque maestro de un disco duro u otro dispositivo de almacenamiento conectado al sistema de destino. Los Bootkits son capaces de subvertir el proceso de arranque y mantener el control sobre el sistema después del arranque y, como resultado, se han utilizado con éxito para atacar sistemas que utilizan cifrado de disco completo.,
los rootkits de Firmware aprovechan el software integrado en el firmware del sistema y se instalan en imágenes de firmware utilizadas por tarjetas de red, BIOS, enrutadores u otros periféricos o dispositivos.
La mayoría de los tipos de infecciones de rootkits pueden persistir en los sistemas durante largos períodos de tiempo, porque se instalan en dispositivos de almacenamiento permanentes del sistema, pero los rootkits de memoria se cargan en la memoria de la computadora (RAM). Los rootkits de memoria persisten solo hasta que se borra la MEMORIA RAM del sistema, generalmente después de reiniciar el equipo.,
detección y eliminación de rootkits
los Rootkits están diseñados para ser difíciles de detectar y eliminar; los desarrolladores de rootkits intentan ocultar su malware a los usuarios y administradores, así como a muchos tipos de productos de seguridad. Una vez que un rootkit compromete un sistema, el potencial de actividad maliciosa es muy alto.
normalmente, la detección de rootkit requiere complementos específicos para paquetes antimalware o software de escáner antirootkit de propósito especial.,
Hay muchas herramientas de detección de rootkit adecuadas para usuarios avanzados o para profesionales de TI proporcionadas por los proveedores de antimalware, que generalmente ofrecen escáneres de rootkit u otras herramientas de detección de rootkit a sus clientes. Si bien los escáneres de rootkit de terceros gratuitos y de pago también están disponibles, se debe tener cuidado de que cualquier software de escaneo de seguridad sea proporcionado por un editor de buena reputación porque se sabe que los actores de la amenaza empaquetan y distribuyen malware como software de seguridad.,
la eliminación de rootkits puede ser difícil, especialmente para rootkits que se han incorporado en kernels de SO, en firmware o en sectores de arranque de dispositivos de almacenamiento. Si bien algunos programas antirootkit son capaces de detectar, así como eliminar, algunos rootkits, este tipo de malware puede ser difícil de eliminar por completo.
un enfoque para la eliminación de rootkit es reinstalar el sistema operativo, que, en muchos casos, eliminará la infección. La eliminación de los rootkits del gestor de arranque puede requerir el uso de un sistema limpio que ejecute un sistema operativo seguro para acceder al dispositivo de almacenamiento infectado.