Los rootkits son un tipo de software que los delincuentes utilizan para hacerse con el mando de una computadora o incluso de una red. Aunque aparenten ser una sola aplicación, la mayoría de los rootkits se compone de varias herramientas que, usadas en conjunto, permiten obtener acceso privilegiado a un dispositivo.
Los hackers pueden usar distintos métodos para instalar un rootkit:
- El método más usual es el phishing (u otro tipo de ataque de ingeniería social). La víctima descarga e instala un programa malicioso sin percatarse de ello. El programa se ejecuta, se oculta en otro proceso y le da al hacker el mando de casi todos los aspectos del sistema operativo.
- Otra vía posible son las vulnerabilidades que suelen estar presentes en el software desactualizado. Si el hacker sabe que la víctima utiliza una aplicación o un sistema operativo con alguna debilidad, puede explotar esa falencia para introducir el rootkit.
- Una tercera posibilidad es que el rootkit venga combinado con otro archivo, como un PDF infectado, una copia ilegal de una película o una app publicada en una tienda sospechosa.
Los rootkits operan cerca o dentro del núcleo del sistema operativo. Debido a ello, son capaces de ejecutar comandos en el equipo. Ningún dispositivo o artefacto con sistema operativo está exento de sufrir una infección; en la medida en que la Internet de las cosas se vuelva cotidiana, puede que surjan rootkits para termostatos y refrigeradores.
Algunos rootkits contienen registradores de pulsaciones de teclas, pequeñas aplicaciones que capturan todo lo que la víctima escribe con el teclado. Son una de las herramientas favoritas de los delincuentes: les facilita enormemente la tarea de robar números de tarjetas de crédito, datos bancarios y otras clases de información personal. Los rootkits también pueden usarse para realizar ataques DDoS o enviar correos masivos. Pueden incluso eliminar o deshabilitar cualquier aplicación de seguridad que la víctima haya instalado en su dispositivo.
No todos los rootkits son dañinos: algunos se usan para resolver problemas de TI a distancia o para brindar ayuda a las autoridades y fuerzas de seguridad. La realidad, sin embargo, es que la mayoría tiene fines maliciosos. Su peligro radica en que sirven de vehículo para otras aplicaciones maliciosas, algunas de las cuales pueden ocasionar alteraciones en el sistema operativo o permitirle el acceso remoto a alguien desconocido.
Tipos de rootkits
1. Rootkits para hardware o firmware
Los rootkits para hardware o firmware pueden infectar discos duros, routers o incluso la BIOS de un equipo (la BIOS es un programa especial, instalado en un microchip que forma parte de la placa base). Estos rootkits no alteran el sistema operativo; les interesa, en cambio, el firmware del dispositivo. Los rootkits de este tipo instalan aplicaciones malignas que son muy difíciles de detectar. Al estar en contacto con el hardware, pueden guardar un registro de todo lo que el usuario escribe y de todo lo que hace en Internet. Los rootkits para hardware y firmware no son tan comunes, pero son una verdadera amenaza para la seguridad en línea.
2. Rootkits para el cargador del SO
El cargador es el mecanismo que da inicio al sistema operativo. Los rootkits de esta clase atacan ese mecanismo y reemplazan el cargador original por uno modificado. Gracias a esta estrategia, pueden activarse incluso antes de que el usuario haya comenzado a usar el sistema operativo.
3. Rootkits para memoria
Los rootkits para memoria se ocultan en la RAM del dispositivo y utilizan los recursos del sistema para realizar acciones maliciosas en segundo plano. Estos rootkits afectan el rendimiento de la RAM. Viven en la memoria del equipo y no inyectan ningún tipo de código permanente, por lo que desaparecen en cuanto se reinicia el sistema (si bien una eliminación total puede llevar un poco más de trabajo). Los rootkits de esta clase son efímeros y, por ello, no se los suele considerar una gran amenaza.
Cobalt Strike es una poderosa herramienta de emulación de amenazas que proporciona un agente posterior a la explotación y canales encubiertos ideales para simulaciones de adversarios y ejercicios del Red Team.
Conocer…
4. Rootkits para aplicaciones
Los rootkits para aplicaciones sustituyen archivos del sistema por otros propios. Algunos cambian la manera en que funcionan ciertas aplicaciones comunes. Infectan aplicaciones como Paint, el Bloc de notas o los programas de Microsoft Office. Cada vez que la víctima abre uno de esos programas, les brinda a los atacantes una vía de acceso a su equipo. Detectar esta clase de rootkit no es fácil para la víctima porque los programas que utiliza se siguen ejecutando normalmente; las soluciones antivirus pueden dar con ellos porque, al igual que los rootkits, operan en el nivel de las aplicaciones.
5. Rootkits de modo núcleo o modo kernel
Estos rootkits son especialmente peligrosos porque afectan la parte más central del sistema operativo: su núcleo. Los hackers los usan no solo para acceder a los archivos almacenados en el dispositivo, sino también para incorporar código que modifique el funcionamiento del sistema operativo.
6. Rootkits virtuales
Los rootkits virtuales se instalan por debajo del sistema operativo. Una vez allí, hacen funcionar el sistema operativo original en una máquina virtual e interceptan sus interacciones con el hardware. Los rootkits virtuales no necesitan modificar el núcleo del sistema operativo para lograr sus cometidos, lo que los hace muy difíciles de detectar.
Ejemplos de rootkits
Stuxnet
Uno de los rootkits más famosos de la historia se llama Stuxnet. Se trata de un gusano informático que se descubrió en el año 2010, pero que se cree ha existido desde 2005. Stuxnet ocasionó graves perjuicios al programa nuclear de Irán. Aunque no lo han admitido, se tiene casi por seguro que Stuxnet es una ciberarma creada por los Estados Unidos e Israel como parte de un trabajo conjunto denominado “los Juegos Olímpicos”.
Hay otros ejemplos que cabe destacar:
Flame
Flame es el nombre de un rootkit descubierto en 2012. Se lo ha utilizado sobre todo para el ciberespionaje en Oriente Medio. También conocido como Flamer, sKyWIper y Skywiper, es un rootkit que puede afectar un sistema operativo de punta a punta: le permite al atacante monitorear el tráfico que pasa por el dispositivo, crear capturas de pantalla, grabar audio e incluso registrar las teclas que presiona el usuario. Los autores de Flame siguen en el anonimato, pero se sabe que utilizaron ochenta servidores, repartidos en tres continentes, para acceder a los equipos que infectaron.
Necurs
Necurs surgió como rootkit en 2012. Ese mismo año, logró infectar al menos 83 000 equipos. Vinculado a ciberdelincuentes de élite de Europa Occidental, Necurs se destaca por su complejidad técnica y por su capacidad para evolucionar.
ZeroAccess
Descubierto en 2011, ZeroAccess es un rootkit de modo núcleo que logró infectar más de dos millones de computadoras alrededor del globo. No altera el funcionamiento de los dispositivos que infecta; lo que hace, en cambio, es descargar e instalar una aplicación maliciosa que suma el equipo de la víctima a una botnet mundial. La botnet se utiliza para llevar a cabo ataques informáticos. ZeroAccess se sigue usando al día de hoy.
TDSS
TDSS se detectó por primera vez en 2008. Este rootkit se carga y se ejecuta en las primeras etapas de inicio del sistema operativo, por lo que tiene similitudes con los que afectan el arrancador del SO y es igualmente difícil de detectar y eliminar.
NORTH NETWORKS es Distribuidor Oficial y brinda licencias nuevas, renovaciones y servicios profesionales de las herramientas mas importantes.
Pongase en contacto y le ayudaremos a analizar sus requerimientos para poder brindarle la herramienta que mejor se ajuste a sus proyectos.
Si te ha gustado, ¡compártelo con tus amigos!
