Por Abhishek Ghosh 17 de enero de 2024 7:32 pm Actualizado el 18 de enero de 2024AnuncioUn rootkit (kit de administrador; root es el usuario con privilegios de administrador en sistemas operativos tipo Unix) es una colección de herramientas de software que se instala en el sistema comprometido después irrumpir en un sistema de software para ocultar futuros inicios de sesión del intruso y ocultar procesos y archivos. Hoy en día, el término ya no se limita a los sistemas operativos basados ​​en Unix, ya que los rootkits para otros sistemas están disponibles desde hace mucho tiempo. Los programas antivirus intentan descubrir la causa del compromiso. El objetivo de un rootkit es ocultar el malware a los programas antivirus y al usuario mediante el camuflaje. Otra colección de herramientas de software o gestores de arranque es el “bootkit”. Las primeras colecciones de herramientas Unix para los fines anteriores consistían en versiones modificadas de los programas ps, passwd, etc., que luego ocultaban cualquier rastro del atacante que normalmente dejarían. detrás, lo que permite al atacante operar con los privilegios del administrador del sistema raíz sin que el administrador legítimo pueda darse cuenta. Un rootkit generalmente oculta inicios de sesión, procesos y archivos de registro y, a menudo, contiene software para robar datos de terminales, conexiones de red , y pulsaciones de teclas y clics del mouse, así como contraseñas del sistema comprometido. Además, puede haber puertas traseras que faciliten al atacante el acceso al sistema comprometido en el futuro, por ejemplo, lanzando un shell cuando se ha realizado una solicitud de conexión a un puerto de red específico. La línea entre rootkits y caballos de Troya es difusa, y un troyano tiene un enfoque diferente para infectar un sistema informático. La característica de un rootkit es que se instala solo sin el conocimiento del administrador, lo que permite al atacante acceder al equipo informático para sus fines sin ser Reconocido. Estos incluyen: escuchas ilegales o, más generalmente, robo de datos (por ejemplo, códigos de acceso, documentos técnicos, secretos comerciales). Instalación de virus, por ejemplo, para atacar otros archivos adjuntos. Capacidad de bloquear la denegación de servicio distribuida. Los rootkits pueden abrir nuevas puertas traseras. Además, los rootkits intentan disfrazar la ruta de infiltración para que otros no los eliminen. Los rootkits de aplicaciones consisten únicamente en programas de sistema modificados. Debido a las formas triviales de detectar este tipo de rootkits, hoy en día rara vez se utilizan. Los rootkits del kernel reemplazan partes del kernel con su propio código para ocultarse y proporcionar al atacante funciones adicionales (“acceso remoto”) que solo pueden ejecutarse en el contexto del kernel (“ring-0”). La mayoría de las veces, esto se hace recargando los módulos del kernel. Por lo tanto, esta clase de rootkits también se denomina rootkits LKM (LKM significa «módulo de kernel cargable»). Algunos rootkits del kernel no requieren LKM porque manipulan directamente la memoria del kernel. En Windows, los rootkits del kernel a menudo se implementan integrando nuevos controladores .sys. Un controlador de este tipo puede interceptar llamadas a funciones de programas que, por ejemplo, enumeran archivos o muestran procesos en ejecución. De esta manera, el rootkit oculta su propia presencia en una computadora. Los “rootkits de usuario” son especialmente populares en Windows porque no requieren acceso a nivel del kernel. Cada uno de ellos proporciona una DLL que se conecta directamente a todos los procesos mediante varios métodos API. Una vez que esta DLL se carga en el sistema, modifica las funciones API seleccionadas y redirige su ejecución hacia sí misma. Esto permite que el rootkit obtenga información específica, que luego puede filtrarse o manipularse. Los rootkits de memoria sólo existen en la memoria del sistema en ejecución. Después de reiniciar el sistema, estos rootkits ya no están presentes. Hoy en día, casi todos los procesadores comunes de servidores, PC y portátiles tienen funciones de hardware para engañar a los programas haciéndoles creer que tienen un procesador virtual. Esto se suele utilizar para poder operar varios sistemas operativos en paralelo en un sistema informático físico, aunque puedan ser diferentes. Los rootkits basados ​​en máquinas virtuales (VMBR) son rootkits que mueven un sistema operativo existente a un entorno virtual. Como resultado, el sistema operativo queda atrapado en el entorno virtual. El entorno virtual es, por tanto, una capa de software bajo el sistema operativo, lo que hace que sea muy difícil detectar el VMBR. Dado que es imposible detectar al cien por cien los rootkits, el mejor método para eliminarlos es reinstalar completamente el sistema operativo. Dado que ciertos rootkits están ocultos en el BIOS, ni siquiera este método proporciona un 100% de certeza sobre la eliminación del rootkit. Para evitar de antemano una infección de la BIOS, ésta debe estar protegida contra lectura en el lado del hardware, p. ej. mediante un puente en la placa base. Sin embargo, muchos rootkits están disponibles de fabricantes oficiales (por ejemplo, el rootkit de Sony) con programas de detección y eliminación.

Source link