RootKit

¿Que es el RootKit?


Rootkit es un conjunto de herramientas usadas
Resultado de imagen de que es el rootkit
frecuentemente por los intrusos informáticos o crackers que consiguen acceder ilícitamente a un sistema informático. Estas herramientas sirven para esconder los procesos y archivos que permiten al intruso mantener el acceso al sistema, a menudo con fines maliciosos. Hay rootkits para una amplia variedad de sistemas operativos, como Linux, Solaris o Microsoft Windows. Por ejemplo, el rootkit puede esconder una aplicación que lance una consola cada vez que el atacante se conecte al sistema a través de un determinado puerto. Los rootkits del kernel o núcleo pueden contener funcionalidades similares.

Un backdoor puede permitir también que los procesos lanzados por un usuario sin privilegios de administrador ejecuten algunas funcionalidades reservadas únicamente al superusuario. Todo tipo de herramientas útiles para obtener información de forma ilícita pueden ser ocultadas mediante rootkits

¿Que tipos existen?

Los rootkits pueden clasificarse en dos grupos; el primero está integrado por los rootkits que poseen núcleo. Mientras que el segundo tipo, está compuesto por rootkits que funcionan como aplicaciones.

Los que tienen núcleo, actúan directamente sobre el kernel del sistema operativo, mientras que los que actúan como aplicaciones, tienden a reemplazar archivos ejecutables originales.

¿Que objetivos persiguen?

Resultado de imagen de rootkit
Tratan de encubrir a otros procesos que están llevando a cabo acciones maliciosas en el sistema. Por ejemplo, si en el sistema hay una puerta trasera para llevar a cabo tareas de espionaje, el rootkit ocultará los puertos abiertos que delaten la comunicación; o si hay un sistema para enviar spam, ocultará la actividad del sistema de correo.

Los rootkits, al estar diseñados para pasar desapercibidos, no pueden ser detectados. Si un usuario intenta analizar el sistema para ver qué procesos están ejecutándose, el rootkit mostrará información falsa, mostrando todos los procesos excepto él mismo y los que está ocultando.

O si se intenta ver un listado de los ficheros de un sistema, el rootkit hará que se muestre esa información pero ocultando la existencia del propio fichero del rootkit y de los procesos que esconde.

Cuando el antivirus hagan una llamada al sistema operativo para comprobar qué ficheros hay, o cuando intente averiguar qué procesos están en ejecución, el rootkit falseará los datos y el antivirus no podrá recibir la información correcta para llevar a cabo la desinfección del sistema.


Ejemplos de Rootkit

Carberp

La versión original era el típico troyano diseñado para robar la información confidencial de los usuarios como las credenciales bancarias o los accesos a diferentes páginas web. Carberp transmitía los datos robados a un servidor C&C controlado por el creador del malware. Simple y directo. El único componente “complicado” era el rootkit que permitía al troyano pasar desapercibido en el ordenador de la víctima. La siguiente generación incluía plug-ins: uno que eliminaba el software antivirus del equipo infectado y otro que intentaba “destruir” el resto de malware, en caso de que lo hubiera.

Las cosas empezaron a ponerse más interesantes cuando se le confirió la habilidad de cifrar el tráfico de información entre las máquinas infectadas y el servidor C&C. Además, este troyano empezó a trabajar junto al famoso exploit Backhole, infectando a un gran número de equipos. Los creadores de Carperb, a su vez, desarrollaron un módulo específico para Facebook que engañaba a los usuarios con cupones en metálico, para secuestrar sus cuentas en una estafa de ransomware.

A partir de ese momento, comenzó su declive. Las autoridades rusas arrestaron a ocho individuos sospechosos de controlar este malware. A pesar de todo, Carperp sigue vivo. Aunque, en el pasado, los ciberdelincuentes tuviesen que pagar hasta 40.000 dólares para tener acceso al troyano; en 2012, se publicó el código fuente y, hoy en día, cualquiera que tenga los conocimientos suficientes puede tener acceso a este programa.

¿Como eliminar un Rootkit?

El primer paso para eliminarlos sera detectarlos.Detectar este tipo de herramientas maliciosas es sumamente difícil. Si se conoce o se sospecha de un proceso extraño, lo mejor es pausarlo manualmente y tratar de eliminarlo de la carpeta donde se aloja. También, existen diversas aplicaciones especialmente diseñadas para eliminar este tipo de amenazas, estas son llamadas anti-rootkits.

Lo más conveniente es ejecutarlas desde discos o dispositivos que no tengan nada que ver con el sistema operativo, ya que si el anti-rootkit se encuentra en el sistema operativo, este puede ser afectado por el mismo rootkit para evitar ser eliminado.

Entre los principales programas anti-rootkit que podemos encontrar en el mercado, se encuentran: Backlight, Rootkit Revealer, chkrootkit, rkhunter, etc.

Resultado de imagen de rootkit

Comentarios

Publicar un comentario

Entradas populares de este blog

Sistemas de Archivos

Imagen
¿Que son y que tipos existen? Los sistemas de archivos son estándares diseñados por cada desarrollador de sistemas operativos, los cuáles indican la forma en que van a ser almacenados los archivos en los dispositivos de almacenamiento masivo (unidades SSD, discos duros,discos ópticos, memorias USB, etc.), así como también la forma en que va a iniciar el sistema operativo (proceso de arranque). Aunado a lo anterior, el término formatear, se refiere a preparar el dispositivo de almacenamiento, para guardar la información en un sistema de archivos definido Cuando almacenamos un archivo (una carpeta, una imagen, un vídeo, un documento de Word, etc.), este conserva su nombre y sus características propias, pero se acopla al sistema de archivos existente en el dispositivo de almacenamiento; se puede hacer una analogía con los idiomas: El sistema de archivos de UNIX y LINUX EXT / EXT2 / EXT3 : Es el protocolo de Linux para el almacenamiento de datos, se trata de un sistema de fich
Leer más

Hyper-Threading

Imagen
¿Que es el Hyper-Threading? La tecnología Intel Hyper-Threading (o tecnología Intel HT) utiliza los recursos del procesador de modo más eficiente, permitiendo que múltiples hilos se ejecuten en cada núcleo. Como una característica de rendimiento, también incrementa la capacidad de proceso del procesador mejorando el rendimiento general de programas con muchos hilos. La tecnología Intel HT está disponible en los nuevos procesadores Intel Core vPro, la familia de procesadores Intel Core, la familia de procesadores Intel Core M y la familia de procesadores Intel Xeon. Al combinar uno de estos procesadores y chipsets Intel con un sistema operativo y una BIOS compatibles con la tecnología Intel® HT, podrás: Ejecutar aplicaciones exigentes al mismo tiempo mientras mantienen la flexibilidad del sistema. Mantener los sistemas más protegidos, eficientes y fáciles de gestionar al tiempo que minimizar la repercusión en la productividad. Disponer de capacidad de ampliación para un creci
Leer más

Sistemas Expertos

Imagen
¿Que son los Sistemas Expertos? Son una rama de la inteligencia artificial; son sistemas informáticos que simulan el proceso de aprendizaje, de memorización, de razonamiento, de comunicación y de acción en consecuencia de un experto humano en cualquier rama de la ciencia. Presentan las siguientes características: Habilidad para adquirir conocimiento. Fiabilidad, para poder confiar en sus resultados o apreciaciones. Solidez en el dominio de su conocimiento. Capacidad para resolver problemas. Dada la complejidad de los problemas que usualmente tiene que resolver un sistema experto , puede existir cierta duda en el usuario sobre la validez de respuesta obtenida. Por este motivo, es una condición indispensable que un sistema experto sea capaz de explicar su proceso de razonamiento o dar razón del por qué solicita tal o cual información o dato. Estas características le permiten almacenar datos y conocimiento, sacar conclusiones lógicas, tomar decisiones, aprender de la experie
Leer más