Saltar al contenido

Que es Rootkit y como funciona

Rootkit que es

¿Qué es rootkit?, no es un grupo de música roquera, ojalá fuera eso, vamos a ponernos en situación, a veces cuando vamos por la calle creemos que nadie nos observa, pero de manera casual nos hacen una foto y esa foto acaba en las manos equivocadas provocándonos un problema, ya tenemos la idea, empecemos con que es un rootkit.

¿Qué es Rootkit?

Los rootkits son paquetes de malware o de archivos malicioso preparados para no ser detectados por el sistema mientras le dan acceso y control a los ciberdelincuentes. Los rootkits existen desde finales de los años 80 y se han detectado en una amplia gama de sistemas operativos, incluidos Linux y Windows.

Vamos un bicho que controla todos tus movimientos sin ser percibido mientras va transmitiendo esa información a otro sistema (por lo normal no suele ser una persona que quiera el bien para ti).

Tipos de rootkit

Los rootkits pueden dividirse en seis categorías, basadas principalmente en la parte del ordenador que se infecta y en la profundidad de la infección, veamos que son los rootkits y como funcionan:

Rootkit en modo usuario

Un rootkit en modo usuario se instala en una cuenta de usuario estándar, este es capaz de monitorizar el teclado y el ratón, y no contento con esto, además introduce código en otros procesos y oculta archivos al usuario. El rootkit en modo usuario también puede configurar los ajustes del sistema y cambiar los permisos de los archivos. Los rootkits en modo usuario se utilizan a menudo como descargadores encubiertos (CDL), que realizan diversas operaciones utilizando la conexión a Internet de un sistema.

Rootkits en modo kernel

Estos rootkits infectan partes de su sistema operativo. Pueden ser notablemente difíciles de eliminar porque se ejecutan constantemente y no hay una manera fácil de detenerlos. La única herramienta que puede ayudarle a eliminar un rootkit en modo kernel es un disco antivirus de arranque. Los rootkits en modo kernel pueden dividirse a su vez en dos subcategorías:

  • Perpetuos:
    • Se instalan permanentemente en un ordenador de destino. Un ejemplo sería un rootkit a nivel de la BIOS que se ha insertado en el firmware de la placa base.
  • Efímeros:
    • Están activos sólo durante breves períodos de tiempo, como cuando un hacker quiere obtener acceso remoto a una red de destino. El rootkit se esconde cuando ya no es necesario.

Rootkits a nivel de hipervisor

Este es uno de los rootkits más difíciles de detectar y eliminar, ya que opera en una capa completamente separada del sistema operativo. Los rootkits a nivel de hipervisor operan entre el monitor de la máquina virtual (VMM) y el sistema invitado, lo que les permite espiar el tráfico de red, ver las contraseñas y las claves de cifrado, y acceder a otras funciones básicas del ordenador.

Debido a este nivel de acceso, el rootkit a nivel de hipervisor puede ser utilizado para una amplia gama de ataques, incluyendo el cierre o la supervisión de servicios específicos o la extracción de claves de cifrado de la memoria.

Nivel de aplicación

Los rootkits a nivel de aplicación o firmware son la forma más común de este tipo de software y a menudo se aprovechan de funciones legítimas dentro de un sistema operativo o programa para actuar sin ser detectados. Este tipo de rootkits infectan el firmware, lo que les permite saltarse muchas medidas de seguridad.

Rootkits basados en la memoria

Estos tipos de rootkits residen en la memoria de acceso aleatorio (RAM). Se ejecutan cada vez que el ordenador arranca y, una vez ejecutados, no pueden eliminarse sin sacarlos primero de la RAM.

Bootkits

Un bootkit es un rootkit que reside en el sector de arranque de un disco duro. La mayoría de las veces se utiliza para modificar el MBR (Master Boot Record) o el sector de arranque de una unidad. Estos bootkits pueden esconderse en las particiones y hacer que sus cambios maliciosos en los archivos y otras áreas del disco sean invisibles para los programas y los usuarios.

Como eliminar un Rootkit

Eliminar los rootkits puede ser difícil porque se ocultan a sí mismos y a los archivos importantes del sistema operativo. Para eliminar un rootkit es necesario utilizar un antivirus capaz de detectar y eliminar este tipo de malware, como Kaspersky Anti-Virus, Avast o algún otro antivirus. Pero aquí hay varios problemas, el primero que sea capaz de detectarlo y otra capaz de eliminarlo.

Para ello desde seguridadenlainformatica, te recomiendo que mas que intentar eliminar un Rootkit, intentes prevenir que no te infecte el ordenador, para ello debemos seguir ciertas políticas de seguridad:

  • Tener siempre el sistema actualizado y no dejarlo para otro día.
  • Debemos instalar un antivirus y tenerlo actualizado.
  • No tengas programas, archivos o cualquier otro tipo de software de dudosa procedencia.
  • Te recomiendo realizar una copia de seguridad y esta tenerla en un USB.
  • Jamás abras archivos o documentos adjuntos de un correo que no sepas quien es, por aquí entra mucho malware.
  • Para mas recomendaciones sobre como prevenir cualquier tipo de malware te dejo unos enlaces:

Hemos llegado al final del artículo y espero haber dejado claro que es un rootkit y como funciona, si tuvieras alguna duda ya sabes mándame un correo o deja un mensaje.