¿Qué Son Los Rootkits? Funciones, Tipos Y Sus Niveles

Aquellos que buscan aprovecharse de los usuarios de computadoras sueñan con poder acceder a los sistemas informáticos de otros sin ser detectados. Combina eso con privilegios elevados y tendrás la fantasía de un verdadero atacante. Probablemente esa sea la razón por la que tantos atacantes y ciberdelincuentes confían en los rootkits para hacer realidad sus sueños.

Este artículo detallará qué son los rootkits, sus componentes, niveles de rootkits, cómo se propagan los rootkits y qué pueden hacer los rootkits en un sistema informático, así como algunos de los diferentes tipos de rootkits que circulan por los sistemas informáticos en estos días. Aquellos que no estén bien versados ​​en Unix también obtendrán una pequeña perspectiva histórica sobre el nombre.

También puedes leer: ¿Qué Es Un Bloatware? Y Como Eliminarlo

¿Qué son los rootkits?

Los nuevos en el malware probablemente se estén rascando la cabeza preguntándose qué es un rootkit y probablemente por qué tiene un nombre como "rootkit". Un rootkit es una pieza de software que tiene dos funciones: proporcionar acceso privilegiado y no ser detectado. No todos los rootkits son malware, pero este artículo se centrará en aquellos con intenciones maliciosas.

La palabra “RootKit” proviene originalmente del mundo de los sistemas 'Unix', donde el root es el usuario con más privilegios de acceso al sistema '. Mientras que la palabra kit define el kit que contiene un conjunto de herramientas maliciosas como keyloggers, ladrones de credenciales bancarias, ladrones de contraseñas, desactivadores de antivirus o bots para ataques DDos, etc. Al juntar ambos, obtendrá RootKit.

Los rootkits son una de las peores cosas que le pueden pasar a un sistema y son uno de los ataques más peligrosos, más peligrosos que el malware y los virus habituales, tanto por el daño que causan al sistema como por la dificultad para encontrarlos y detectarlos. Los rootkits pueden permanecer en tu sistema durante mucho tiempo sin que el usuario se dé cuenta y pueden causar serios daños al sistema.

Conocidos por robar información personal

Están diseñados de tal manera que permanecen ocultos y realizan acciones maliciosas como interceptar el tráfico de Internet, robar tarjetas de crédito e información bancaria en línea.

Los rootkits brindan a los ciberdelincuentes la capacidad de controlar tu sistema informático con acceso administrativo completo, también ayuda al atacante a monitorear tus pulsaciones de teclas y deshabilitar tu software antivirus, lo que facilita aún más el robo de tu información secreta.

Tipos de RootKits

Para comprender correctamente los tipos de rootkits, primero debemos imaginar el sistema como un círculo de anillos concéntricos.

• En el centro, hay un núcleo conocido como anillo cero. El kernel tiene el nivel más alto de privilegios sobre un sistema informático. Tiene acceso a toda la información y puede operar en el sistema como quiera.
• El anillo 1 y el anillo 2 están reservados para procesos con menos privilegios. Si este anillo falla, los únicos procesos que se verán afectados son aquellos de los que depende el anillo 3.
• El anillo 3 es donde reside el usuario. Es el modo de usuario que tiene una jerarquía de acceso con privilegios estrictos.

Fundamentalmente, un procedimiento que se ejecuta en un anillo privilegiado superior puede reducir sus beneficios y ejecutarse en un anillo externo, pero esto no puede funcionar al revés sin el consentimiento inequívoco de los instrumentos de seguridad del marco de trabajo.

En situaciones en las que dichos componentes de seguridad pueden mantenerse alejados, se dice que existe una vulnerabilidad de escalada de privilegios. Ahora hay 2 tipos más destacados de RootKits:

2 Tipos de RootKits más destacados

Fundamentalmente, un procedimiento que se ejecuta en un anillo privilegiado superior puede reducir sus beneficios y ejecutarse en un anillo externo, pero esto no puede funcionar al revés sin el consentimiento inequívoco de los instrumentos de seguridad del marco de trabajo.

 En situaciones en las que dichos componentes de seguridad pueden mantenerse alejados, se dice que existe una vulnerabilidad de escalada de privilegios. Ahora hay 2 tipos más destacados de RootKits:

Rootkits de modo de usuario:

Los rootkits de esta categoría operan a un nivel de usuario o de privilegios bajos en el sistema operativo. Como se expresó antes, los rootkits hacen que los piratas informáticos mantengan su autoridad sobre el sistema al proporcionar un canal de paso secundario, el Rootkit de modo de usuario

En general cambiará las aplicaciones importantes a nivel de usuario de esta manera, ocultándose a sí mismo como dando acceso de puerta trasera. Existen diferentes rootkits de este tipo tanto para Windows como para Linux.

RootKits de modo de usuario de Linux:

Muchos rootkits de modo de usuario de Linux están disponibles hoy en día, por ejemplo:

• Para obtener acceso remoto a la máquina del objetivo, los servicios de inicio de sesión como 'login', 'sshd' son modificados por el rootkit para incluir una puerta trasera. Los atacantes pueden tener acceso a la máquina del objetivo con solo llegar a una puerta trasera. Recuerde que el hacker ya explotó la máquina, solo agregó una puerta trasera para volver en otro momento.
• Para realizar el ataque de escalada de privilegios. El atacante modifica comandos como 'su', sudo de manera que cuando use estos comandos a través de una puerta trasera obtendrá acceso de nivel raíz a los servicios.
• Para ocultar su presencia durante un ataque
• Ocultación de procesos: se modifican varios comandos que muestran datos sobre procedimientos que se ejecutan en la máquina como 'ps', 'pidof', 'top' con el objetivo de que el procedimiento de asalto no se registre entre otros procedimientos en ejecución. Además, el comando 'matar a todos' generalmente se cambia con el objetivo de que el proceso del hacker no se pueda eliminar, y el orden 'crontab' se cambia para que los procesos maliciosos se ejecuten en un momento específico sin cambiar la configuración de crontab.
• Ocultar archivos: ocultar su presencia de comandos como 'ls', 'buscar'. Además, se oculta del comando 'du' que muestra el uso del disco de un proceso ejecutado por un atacante.
• Ocultación de eventos: ocultarse de los registros del sistema modificando el archivo 'syslog.d' para que no puedan registrarse en estos archivos.
• Ocultación en la red: ocultación de comandos como 'netstat', 'iftop' que muestra conexiones activas. Los comandos como 'ifconfig' también se modifican para erradicar su presencia.

Rootkits en modo kernel:

Antes de pasar a los rootkits en modo kernel, primero veremos cómo funciona el kernel, cómo maneja las solicitudes. El kernel permite que las aplicaciones se ejecuten utilizando recursos de hardware.

Como hemos discutido el concepto de anillos, las aplicaciones del anillo 3 no pueden acceder a un anillo más seguro o con muchos privilegios, es decir, el anillo 0, dependen de las llamadas al sistema que procesan utilizando bibliotecas de subsistemas. Entonces, el flujo es algo como esto:

Ahora, lo que hará un atacante es alterar la Tabla de llamadas del sistema utilizando insmod y luego mapear instrucciones maliciosas. Luego, insertará un código de kernel malicioso y el flujo será así:

Lo que veremos ahora es cómo se modifica esta Tabla de llamadas del sistema y cómo se puede insertar el código malicioso.

• Módulos del kernel: el kernel de Linux está diseñado de tal manera que carga un módulo del kernel externo para admitir su funcionalidad e insertar código a nivel del kernel. Esta opción ofrece a los atacantes un gran lujo para inyectar código malicioso en el kernel directamente.
• Cambio del archivo del kernel: cuando el kernel de Linux no está configurado para cargar módulos externos, la alteración del archivo del kernel se puede realizar en la memoria o en el disco duro.
• El archivo del kernel que contiene la imagen de la memoria en el disco duro es / dev / kmem. El código de ejecución en vivo en el kernel también existe en ese archivo. Ni siquiera requiere reiniciar el sistema.
• Si la memoria no se puede modificar, el archivo del núcleo en el disco duro puede ser. El archivo que contiene el kernel en el disco duro es vmlinuz. Este archivo solo puede ser leído y alterado por root. Recuerde que para que se ejecute un nuevo código, es necesario reiniciar el sistema en este caso. Para cambiar el archivo del kernel no es necesario pasar del anillo 3 al anillo 0. Solo necesita permisos de root.

Un excelente ejemplo de rootkits de Kernel es SmartService rootkit. Evita que los usuarios inicien cualquier software antivirus y, por lo tanto, sirve como guardaespaldas para todos los demás malware y virus. Fue un famoso rootkit devastador hasta mediados de 2017.

Niveles de rootkit

Hace solo unas frases, me referí a los niveles de rootkit. Lo que quise decir es que el nivel en el que realmente descansa el rootkit en la computadora. A continuación se muestra una lista de estos niveles, en una escala de privilegios crecientes:

• Nivel 3 - Aplicaciones
• Nivel 2: controladores de dispositivo
• Nivel 1: controladores de dispositivo
• Nivel 0 - Kernel

Las infecciones en estos niveles aumentan en gravedad hasta que llegan al nivel del kernel, que algunos pueden considerar el santo grial de los niveles de rootkit. Una vez que llega al nivel 0, la infección de rootkit se vuelve la más difícil de eliminar. Esto se ve agravado por el hecho de que la mayoría, si no todas, las soluciones antivirus no tienen acceso completo al nivel 1 e inferior.

Cómo funcionan los rootkits

El malware deja señales reveladoras de su presencia, que incluyen:

• Generación de procesos
• Presencia de archivos acompañantes extraños
• La aparición de determinadas claves de registro sospechosas
• Cambios en la utilización del espacio en disco y la CPU

Parte del trabajo del rootkit es monitorear las computadoras infectadas para detectar estos signos reveladores. Si existen en la computadora infectada, el rootkit alterará las partes del sistema informático que muestren estos signos para mantener el malware invisible para el usuario de la computadora.

Conclusión

Los rootkits pueden causar graves daños irreversibles al sistema operativo. Contiene una variedad de herramientas maliciosas como keyloggers, ladrones de credenciales bancarias, ladrones de contraseñas, desactivadores de antivirus o bots para ataques DDos, etc.

El software permanece oculto en un sistema informático y sigue haciendo su trabajo para un atacante, ya que puede acceder de forma remota al sistema de la víctima. Nuestra prioridad después de detectar un rootkit debería ser cambiar todas las contraseñas del sistema. Puede parchear todos los enlaces débiles, pero lo mejor es borrar y reformatear completamente la unidad, ya que nunca se sabe qué hay dentro del sistema.

Los rootkits representan dos cosas: una cortina de humo para que los atacantes mantengan campañas de ataque persistentes y una pesadilla para el usuario de la computadora. Este tipo de malware ocultará las acciones del malware a los ojos de los supervisores y puede otorgar privilegios elevados a los atacantes para promover sus campañas.

Sin embargo, a pesar de su peligro, los rootkits no son el fin del mundo. Aquellos preocupados por la infección deben reforzar tu seguridad y adoptar una postura más “paranoica” o defensiva ante tu actividad en la computadora. Esta es la mejor manera de ayudar a garantizar que tu computadora no sea víctima de rootkits y se convierta en otra estadística de ciberdelitos.

También puedes leer: Cómo Sacar Más Rendimiento Al Procesador