¿Qué es realmente un rootkit?

Entran y salen de las computadoras de otras personas sin ser notados. Se infiltran por las puertas traseras y sacan de contrabando datos valiosos para que puedan venderse en el mercado negro; Roban dinero, datos de tarjetas de crédito y documentos confidenciales, sin que la víctima se dé cuenta. – Algo que suena como una historia de crímenes de domingo por la noche, pero que durante mucho tiempo también ha sido un problema digital, son los piratas informáticos que utilizan software complejo para acceder a los sistemas de otras personas y logran, sin ayuda de nadie, hacerse con el control de las computadoras de sus víctimas. El rootkit es el cómplice de tales actividades, vigilando y disfrazando en la medida de lo posible los actos nefastos de los delincuentes reales.

¿Qué tan peligrosos son los rootkits?

El peligro en sí no proviene del rootkit, sino del malware cuyos rastros está ocultando. Un rootkit no es malware en el sentido habitual. Su capacidad específica radica en ocultar archivos y procesos de otras aplicaciones, así como el malware del sistema operativo de los escáneres de virus y las soluciones de seguridad. Por lo tanto, el ‘nivel de peligro’ de una infección con un rootkit depende de lo que planean hacer los intrusos y del malware que deciden colocar en el sistema a través de la puerta trasera que han abierto.

¿Qué significan aquí “root” y “kit”?

Este cómplice en forma de código penetra profundamente en el sistema operativo y se activa allí. Por tanto, la palabra “root” se refiere a los derechos de root que también llevan el nombre de la cuenta de superusuario. Originaria del mundo UNIX, esta cuenta se configura durante la instalación del sistema operativo y otorga al usuario derechos de acceso generales. Por lo tanto, no está diseñado para el uso diario, sino para todas las tareas administrativas que deben llevarse a cabo en las profundidades del sistema, en el nivel “raíz”. El “kit”, por otro lado, significa que es una colección de herramientas de software. Por lo tanto, literalmente, un rootkit es algo así como un juego de herramientas para administradores.

¿Cómo funciona un rootkit?

Este conjunto de herramientas permite a los delincuentes cibernéticos iniciar sesión en la computadora sin ser notados y ejecutar funciones de administración. El rootkit evita que el usuario advierta cualquier signo de acceso ilegal a la computadora. Los mensajes a los delincuentes se disfrazan en la computadora, al igual que los archivos y procesos asociados. El rootkit también permite ocultar programas peligrosos que espían cosas como contraseñas, secretos comerciales, entradas de teclado y mouse, información de tarjetas de crédito y similares.

¿Cómo puedo prevenir una infección?

  • Cuenta : utilice siempre una cuenta de usuario cuando utilice su computadora con Windows. La cuenta de administrador nunca debería ser su forma diaria de acceder al sistema. Esta cuenta tiene menos barreras y mecanismos de protección contra las amenazas de Internet que una cuenta de usuario, que tiene permisos restringidos.
     
  • Actualizaciones del sistema : asegúrese de que su sistema operativo (por ejemplo, Windows) esté siempre completamente actualizado e instale las actualizaciones.
     
  • Actualizaciones de software : lo mismo se aplica a los programas instalados. Dado que los rootkits también pueden acceder al sistema a través de agujeros de seguridad en los programas, debería cerrarlos periódicamente utilizando las actualizaciones que proporcionan los proveedores de software.
     
  • Software de seguridad : un software de seguridad robusto es imprescindible. Debe incluir mecanismos de seguridad como el monitoreo del comportamiento y otras tecnologías proactivas.
     
  • CD de inicio : un CD de inicio escanea el sistema cuando está inactivo. Dicho medio de arranque analiza la computadora en busca de una amplia gama de malware, incluidos los rootkits. Un CD de arranque no puede estar seguro de prevenir la infección con un rootkit. Sin embargo, puede evitar que el malware ingrese a la computadora sin que nadie se dé cuenta.
     
  • Comprobación de rootkit: para una comprobación de rootkit, el sistema se pone en un estado específico y luego se comprueba si hay infección de rootkit. Un rootkit es más fácil de encontrar en este estado, ya que se disfraza cuando el sistema está en funcionamiento. Esta comprobación también se puede realizar mediante un CD de arranque.
     
  • Alerta : al igual que con la gran cantidad de malware, los rootkits se distribuyen a través de medios de almacenamiento, Internet o correos electrónicos. Agudice su conocimiento de esto siendo crítico con las memorias USB de terceros y los adjuntos o enlaces de remitentes desconocidos. Nunca haga clic en un enlace sin pensar y solo abra archivos que parezcan inofensivos, como archivos PDF, si está seguro de que no lo están engañando.
     
  • Precaución : Nunca deje su computadora o dispositivos móviles desbloqueados cuando estén desatendidos, especialmente cuando estén encendidos, ya sea que se levante un momento en el café o busque otro libro en la biblioteca. La configuración de contraseñas seguras ofrece seguridad adicional para que las personas no autorizadas no puedan iniciar sesión en su computadora, tableta o teléfono inteligente, incluso si lo tienen en sus manos.

¿En qué se diferencian los rootkits?

Como puede ocultar tantos archivos y procesos diferentes, un rootkit ha estado lejos de ser un simple rootkit. Cada variante procede de una manera diferente y se basa en diferentes partes del sistema. Los dos tipos de rootkit más ampliamente distribuidos son el rootkit en modo usuario y el rootkit en modo kernel. El modo kernel es el núcleo más interno de un sistema operativo. La configuración de nivel más bajo se especifica allí y solo el administrador tiene acceso a esta parte del sistema. Cuando un rootkit se inserta aquí, los atacantes pueden manipular remotamente la computadora como quieran. El modo de usuario, por otro lado, comprende significativamente menos derechos y, en consecuencia, tiene menos influencia en el sistema operativo. El sistema operativo se puede penetrar en varios niveles, cuya profundidad depende de dónde se encuentre el rootkit.

¿Qué es una función de puerta trasera?

Cuando los delincuentes logran introducir de contrabando un rootkit de este tipo en una computadora, ya tienen un pie en la puerta. Si también logran espiar las contraseñas de la computadora y tienen el malware adecuado, tienen la clave de su sistema y pueden ingresar en cualquier momento. Si todo el ir y venir ocurre con la protección de un rootkit, los expertos a menudo se refieren a una “puerta trasera” al sistema que se ha abierto. Las puertas traseras permiten a los piratas informáticos instalar o ejecutar más software, acceder a los datos y cambiar la configuración.

¿Dónde se utilizan los rootkits?

Lo que pueden hacer los intrusos con la ayuda de un rootkit es muy diferente. Un ejemplo bien conocido de un invitado no deseado en computadoras de terceros es el escándalo de Sony. En 2005 salió a la luz que Sony estaba usando protección contra copias en varios CD de música en los que supuestamente se ocultaba un rootkit. Este rootkit manipulaba los sistemas operativos de los usuarios para evitar que se copiaran los CD. El software antivirus y anti-spyware no conocía este programa. Además, el software envió en secreto los hábitos de escucha privados de los usuarios a Sony, todo bajo la protección del rootkit. En consecuencia, Sony no solo adquirió un enorme conocimiento sobre los usuarios, sino que también provocó un gran escándalo. En lugar de proteger sus derechos de autor, Sony infringió significativamente la protección de datos y, potencialmente, facilitó que los piratas informáticos ingresaran a través de los agujeros de seguridad abiertos de esta manera.

¿Cómo detecto rootkits y qué es un análisis de rootkit?

No se puede ver a simple vista si las puertas de su computadora aún están bien cerradas o no. Además, los rootkits rara vez se detectan a través de comportamientos sospechosos por parte de la computadora. El software de seguridad solo puede ofrecer soporte técnico aquí, por ejemplo, una verificación especial de rootkit. Esta protección contra rootkits se incluye en la mayoría de los paquetes de software de seguridad. La verificación de rootkit, a veces también llamada análisis de rootkit, se lleva a cabo de una manera particular: debido a que los rootkits se protegen activamente de la detección en un sistema en ejecución, casi solo se pueden detectar si el sistema se coloca en un estado específico. Es la única forma en que el disco duro en el que se ejecuta el sistema puede ser examinado con éxito en busca de rootkits.

¿Cómo puedo eliminar un rootkit?

Los CD de arranque especiales ayudan a detectar rootkits. Las soluciones de seguridad de G DATA ofrecen la opción de crear un CD de arranque basado en Linux que se puede utilizar para arrancar la computadora de forma remota desde el sistema operativo instalado. El sistema puede ser escaneado por el escáner de virus contenido en el CD en una condición en la que el rootkit que puede estar presente en el disco duro no está activo y, por lo tanto, se puede descubrir más fácilmente. En este estado, la función de disfraz es ineficaz y la cubierta del rootkit se abre de par en par, junto con la de sus cómplices criminales.

Enlace: https://www.gdatasoftware.com/guidebook/what-actually-is-a-rootkit Blog de G DATA