Rootkit. La gran amenaza de internet.

El término ROOTKIT viene de la unión de “root” y de “kit”. “Root” se refiere al usuario con máximos derechos en sistemas tipo Unix (puede ser Unix, AIX, Linux, etc). Es el superusuario, el “administrador”, el todo poderoso, en definitiva, es la expresión máxima de autoridad sobre un determinado sistema informático. Por su parte, “kit” se refiere a un conjunto de herramientas, por lo que un rootkit se puede entender como un conjunto de herramientas con categoría de administrador de un sistema.

En otras palabras, un rootkit es una herramienta, o un grupo de ellas que tiene como finalidad ocultarse en sí misma y esconder a otros programas, procesos, archivos, directorios, llaves de registro y puertos que permiten al intruso (en este caso) mantener el acceso a un sistema (atacado) para asi conectarse de forma remota y poder ejecutar diversas acciones o extraer información sensible, a menudo con fines maliciosos o destructivos. Existen rootkits para una amplia variedad de sistemas operativos, como Linux, Solaris o Microsoft Windows.

Uso de los rootkit.
Fundamentalmente, los rootkits tratan de encubrir a otros procesos que están llevando a cabo acciones maliciosas en el sistema. Por ejemplo, si en el sistema hay una puerta trasera para llevar a cabo tareas de espionaje, el rootkit ocultará los puertos abiertos que delaten la comunicación; o si hay un sistema para enviar spam, ocultará la actividad del sistema de correo. La única limitación es la imaginación del creador.

Los rootkits se utilizan también para usar al sistema atacado como “base de operaciones”, es decir, usarlo a su vez para lanzar ataques contra otros equipos. De este modo puede parecer que es el sistema infiltrado el que lanza los ataques y no el intruso externo. Este tipo de ataques podrían ser de denegación de servicio (DoS), ataques mediante IRC o mediante correo electrónico (spam).

Objetivos de un rootkit.
El objetivo de un rootkit, una vez instalados en un sistema, es ocultar procesos maliciosos que son usados para robar información confidencial almacenada en la computadora de la victima. Realizan las modificaciones necesarias para poder llevar a cabo las tareas que tiene programadas sin que su presencia pueda ser detectada.

Tipos de rootkits.
Los rootkits se pueden clasificar en dos grupos: los que van integrados en el núcleo y los que funcionan a nivel de aplicación. Los que actúan desde el kernel añaden o modifican una parte del código de dicho núcleo para ocultar el backdoor. Normalmente este procedimiento se complementa añadiendo nuevo código al kernel, ya sea mediante un controlador (driver) o un módulo, como los módulos del kernel de Linux o los dispositivos del sistema de Windows. Estos rootkits suelen parchear las llamadas al sistema con versiones que esconden información sobre el intruso. Son los más peligrosos, ya que su detección puede ser muy complicada.

Los rootkits que actúan como aplicaciones pueden reemplazar los archivos ejecutables originales con versiones crackeadas que contengan algún troyano, o también pueden modificar el comportamiento de las aplicaciones existentes usando hacks, parches, código inyectado, etc.

Detección de rootkits.
Los rootkits, al estar diseñados para pasar desapercibidos, suelen ser muy dificiles de detectar. Si un usuario (o incluso el usuario root) intenta analizar el sistema para ver qué procesos están ejecutándose, el rootkit mostrará información falsa, mostrando todos los procesos excepto él mismo y los que está ocultando. O si se intenta ver un listado de los ficheros de un sistema, el rootkit hará que se muestre esa información pero ocultando la existencia del propio fichero del rootkit y de los procesos que esconde.

Hay limitaciones inherentes a cualquier programa que intente detectar rootkits mientras se estén ejecutandose en el sistema sospechoso. Los rootkits son aplicaciones que modifican muchas de las herramientas y librerías de las cuales depende el sistema.

Y si estamos infectados que debemos hacer.

A pesar de lo que viene diciéndose, los rootkits pueden eliminarse (aunque no tan fácilmente). Estos programas se autoprotegen escondiéndose y evitando que ningún otro proceso (como un antivirus) pueda detectarlos. Pero para que ese proceso pueda ocultarse, debe estar en funcionamiento y activado en memoria.

La mejor manera de evitar que el proceso entre en acción, es evitar el arranque del sistema operativo en el disco en el que se encuentra el rootkit, utilizando un disco diferente al del sistema infectado; como puede ser un CD o un pendrive, asi, si el rootkit es conocido, podrá eliminarse.

Sin embargo, si el rootkit no es conocido (es decir, que ha sido desarrollado específicamente para un sistema en concreto), cualquier antivirus fracasará.

Aplicaciones para Deteccion de Rootkits

A pesar de que los rootkits son de alguna forma muy dificiles de manejar y que muchas personas al escuchar esta palabra (“rootkit”) lo asocian a lo peor que le puede pasar a un ordenador infectado, hoy en dia existen varios programas disponibles para detectar este tipo de ataques.

Para sistemas basados en Unix, dos de las aplicaciones más populares son chkrootkit y rkhunter.

Y por el lado de Windows existen muchas aplicaciones con las que se pueden detectar y elimnar los rootkits de equipos infectados;

1. BLACKLIGHT (F-Secure) que se puede encontrar que en la web de F-Secure.

blacklight2

2. Rootkit REVEALER (Microsoft) technet.microsoft.com

rootkitrevealer

3. RUBotted (TrendMicro) trendsecure.com

rubotted_trendmicro

4. AVG Anti-Rootkit 1.0.0.13 Beta (AVG) AVG

avg-antirootkit-frontend

5. RKDetector v2.0 (Security Analyzer) descarga

rkdetectorrootkit_preview4

6. IcesWord descarga

icesword1-22sshot

by komz

comentarios
  1. fortmin0r dice:

    great job

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s