Los piratas informáticos utilizan los rootkits para ocultar malware persistente y aparentemente indetectable dentro de su dispositivo que robará silenciosamente datos o recursos, a veces en el transcurso de varios años. También se pueden utilizar en forma de registrador de pulsaciones de teclas, en el que se vigilan las pulsaciones de teclas y las comunicaciones, proporcionando al observador información de privacidad.
Este método de piratería en particular tuvo más relevancia antes de 2006, antes de que Microsoft Vista requiriera que los proveedores firmaran digitalmente todos los controladores de computadora. Kernel Patch Protection (KPP) hizo que los creadores de malware cambiaran sus métodos de ataque y solo recientemente, a partir de 2018, con la operación de fraude publicitario Zacinlo, los rootkits volvieron a ser el centro de atención.
Todos los rootkits anteriores a 2006 estaban específicamente basados en sistemas operativos. La situación de Zacinlo, un rootkit de la familia de malware Detrahere, nos dio algo aún más peligroso en forma de rootkit basado en firmware. Independientemente, los rootkits representan solo alrededor del uno por ciento de toda la producción de malware que se ve anualmente.
Aun así, debido al peligro que pueden presentar, sería prudente comprender cómo funciona la detección de rootkits que pueden haberse infiltrado ya en su sistema.
Detección de rootkits en Windows 10 (en profundidad)
De hecho, Zacinlo había estado en juego durante casi seis años antes de ser descubierto apuntando a la plataforma Windows 10. El componente del rootkit era altamente configurable y se protegía de los procesos que consideraba peligrosos para su funcionalidad y era capaz de interceptar y descifrar las comunicaciones SSL.
Encriptaría y almacenaría todos sus datos de configuración dentro del Registro de Windows y, mientras Windows se apagaba, se reescribiría de la memoria al disco con un nombre diferente y actualizaría su clave de registro. Esto lo ayudó a evadir la detección de su software antivirus estándar.
Esto demuestra que un software antivirus o antimalware estándar no es suficiente para detectar rootkits. Sin embargo, existen algunos programas antimalware de primer nivel que lo alertarán sobre las sospechas de un ataque de rootkit.
Los 5 atributos clave de un buen software antivirus
La mayoría de los programas antivirus destacados en la actualidad realizarán estos cinco métodos notables para detectar rootkits.
- Análisis basado en firmas El software antivirus comparará los archivos registrados con firmas conocidas de rootkits. El análisis también buscará patrones de comportamiento que imiten ciertas actividades operativas de rootkits conocidos, como el uso agresivo de puertos.
- Detección de intercepción El sistema operativo Windows emplea tablas de punteros para ejecutar comandos que se sabe que provocan la acción de un rootkit. Dado que los rootkits intentan reemplazar o modificar cualquier cosa que se considere una amenaza, esto alertará a su sistema de su presencia.
- Los rootkits de comparación de datos de múltiples fuentes, en su intento de permanecer ocultos, pueden alterar ciertos datos presentados en un examen estándar. Los resultados devueltos de las llamadas al sistema de alto y bajo nivel pueden revelar la presencia de un rootkit. El software también puede comparar la memoria de proceso cargada en la RAM con el contenido del archivo en el disco duro.
- Comprobación de integridad Cada biblioteca del sistema posee una firma digital que se crea en el momento en que se considera que el sistema está limpio. Un buen software de seguridad puede verificar las bibliotecas en busca de cualquier alteración del código utilizado para crear la firma digital.
- Comparaciones de registros La mayoría de los programas de software antivirus los tienen en un horario preestablecido. Un archivo limpio se comparará con un archivo de cliente, en tiempo real, para determinar si el cliente es o contiene un archivo ejecutable no solicitado (.exe).
Realización de exploraciones de rootkit
Realizar un análisis de rootkit es el mejor intento para detectar una infección de rootkit. La mayoría de las veces, no se puede confiar en que su sistema operativo identifique un rootkit por sí solo y presenta un desafío para determinar su presencia. Los rootkits son espías maestros, que cubren sus huellas en casi todos los sentidos y son capaces de permanecer ocultos a simple vista.
Si sospecha que se ha producido un ataque de virus rootkit en su máquina, una buena estrategia para la detección sería apagar la computadora y ejecutar el análisis desde un sistema limpio conocido. Una forma segura de localizar un rootkit dentro de su máquina es a través de un análisis de volcado de memoria. Un rootkit no puede ocultar las instrucciones que le da a su sistema mientras las ejecuta en la memoria de las máquinas.
Uso de WinDbg para análisis de malware
Microsoft Windows ha proporcionado su propia herramienta de depuración multifunción que se puede utilizar para realizar análisis de depuración en aplicaciones, controladores o el propio sistema operativo. Depurará el código en modo kernel y en modo usuario, ayudará a analizar los volcados de memoria y examinará los registros de la CPU.
Algunos sistemas Windows vendrán con WinDbg ya incluido. Aquellos que no lo tengan deberán descargarlo de Microsoft Store. WinDbg Preview es la versión más moderna de WinDbg, que proporciona imágenes más agradables a la vista, ventanas más rápidas, secuencias de comandos completas y los mismos comandos, extensiones y flujos de trabajo que el original.
Como mínimo, puede usar WinDbg para analizar una memoria o un volcado de memoria, incluida una pantalla azul de la muerte (BSOD). A partir de los resultados, puede buscar indicadores de un ataque de malware. Si cree que uno de sus programas puede verse obstaculizado por la presencia de malware o está usando más memoria de la necesaria, puede crear un archivo de volcado y usar WinDbg para ayudar a analizarlo.
Un volcado de memoria completo puede ocupar un espacio de disco significativo, por lo que puede ser mejor realizar un volcado de modo de kernel o un volcado de memoria pequeña en su lugar. Un volcado de Kernel-Mode contendrá toda la información de uso de memoria por parte del kernel en el momento del bloqueo. Un volcado de memoria pequeña contendrá información básica sobre diferentes sistemas como controladores, el kernel y más, pero es pequeño en comparación.
Los volcados de memoria pequeños son más útiles para analizar por qué se ha producido un BSOD. Para detectar rootkits, una versión completa o kernel será más útil.
Creación de un archivo de volcado en modo kernel
Un archivo de volcado en modo Kernel se puede crear de tres maneras:
- Habilite el archivo de volcado desde el Panel de control para permitir que el sistema se bloquee por sí solo
- Habilite el archivo de volcado desde el Panel de control para forzar el bloqueo del sistema
- Use una herramienta de depuración para crear una para usted
Bueno, vamos con la opción número tres.
Para realizar el archivo de volcado necesario, solo necesita ingresar el siguiente comando en la ventana de comandos de WinDbg.
Reemplace FileName con un nombre apropiado para el archivo de volcado y el ? con una f. Asegúrese de que la f esté en minúsculas o de lo contrario creará un tipo diferente de archivo de volcado.
Una vez que el depurador haya seguido su curso (el primer escaneo llevará unos minutos considerables), se habrá creado un archivo de volcado y podrá analizar sus hallazgos.
Comprender lo que está buscando, como el uso de memoria volátil (RAM), para determinar la presencia de un rootkit requiere experiencia y pruebas. Es posible, aunque no recomendado para principiantes, probar técnicas de detección de malware en un sistema en vivo. Hacer esto nuevamente requerirá experiencia y un conocimiento profundo sobre el funcionamiento de WinDbg para no implementar accidentalmente un virus vivo en su sistema.
Hay formas más seguras y fáciles de usar para principiantes de descubrir a nuestro enemigo bien escondido.
Métodos de escaneo adicionales
La detección manual y el análisis de comportamiento también son métodos confiables para detectar rootkits. Intentar descubrir la ubicación de un rootkit puede ser una gran molestia, por lo que, en lugar de apuntar al propio rootkit, puede buscar comportamientos similares a los de los rootkits.
Puede buscar rootkits en los paquetes de software descargados mediante las opciones de instalación avanzada o personalizada durante la instalación. Lo que deberá buscar son los archivos desconocidos enumerados en los detalles. Estos archivos deben descartarse, o puede hacer una búsqueda rápida en línea para encontrar referencias a software malicioso.
Los cortafuegos y sus informes de registro son una forma increíblemente eficaz de descubrir un rootkit. El software le notificará si su red está bajo escrutinio y debe poner en cuarentena cualquier descarga sospechosa o irreconocible antes de la instalación.
Si sospecha que un rootkit ya puede estar en su máquina, puede sumergirse en los informes de registro del firewall y buscar cualquier comportamiento fuera de lo normal.
Revisión de informes de registro de firewall
Querrá revisar sus informes de registro de firewall actuales, haciendo una aplicación de código abierto como IP Traffic Spy con capacidades de filtrado de registros de firewall, una herramienta muy útil. Los informes le mostrarán lo que es necesario ver en caso de que ocurra un ataque.
Si tiene una red grande con un firewall de filtrado de salida independiente, IP Traffic Spy no será necesario. En cambio, debería poder ver los paquetes entrantes y salientes a todos los dispositivos y estaciones de trabajo en la red a través de los registros del firewall.
Ya sea que se encuentre en un hogar o en una pequeña empresa, puede usar el módem provisto por su ISP o, si posee uno, un firewall o enrutador personal para obtener los registros del firewall. Podrá identificar el tráfico de cada dispositivo conectado a la misma red.
También puede ser beneficioso habilitar los archivos de registro de Firewall de Windows. De forma predeterminada, el archivo de registro está deshabilitado, lo que significa que no se escribe información ni datos.
- Para crear un archivo de registro, abra la función Ejecutar presionando la tecla de Windows + R.
- Escriba wf.msc en el cuadro y presione Entrar.
- En la ventana Firewall de Windows y seguridad avanzada, resalte Firewall de Windows Defender con seguridad avanzada en la computadora local en el menú del lado izquierdo. En el menú del extremo derecho, debajo de Acciones, haga clic en propiedades.
- En la nueva ventana de diálogo, vaya a la pestaña perfil privado y seleccione personalizar, que se puede encontrar en la sección registro.
- La nueva ventana le permitirá seleccionar el tamaño de un archivo de registro para escribir, dónde desea que se envíe el archivo y si desea registrar solo los paquetes descartados, la conexión exitosa o ambos.
- Los paquetes descartados son aquellos que el Firewall de Windows ha bloqueado en su nombre.
- De forma predeterminada, las entradas de registro de Firewall de Windows solo almacenarán los últimos 4 MB de datos y se pueden encontrar en %SystemRoot%System32LogFilesFirewallPfirewall.log
- Tenga en cuenta que aumentar el límite de tamaño en el uso de datos para los registros puede afectar el rendimiento de su computadora.
- Pulse Aceptar cuando haya terminado.
- A continuación, repita los mismos pasos que acaba de realizar en la pestaña Perfil privado, solo que esta vez en la pestaña Perfil público.
- Ahora se generarán registros para conexiones públicas y privadas. Puede ver los archivos en un editor de texto como el Bloc de notas o importarlos a una hoja de cálculo.
- Ahora puede exportar los archivos de registro a un programa analizador de base de datos como IP Traffic Spy para filtrar y clasificar el tráfico para una fácil identificación.
Esté atento a cualquier cosa fuera de lo común en los archivos de registro. Incluso la más mínima falla del sistema puede indicar una infección de rootkit. Algo como el uso excesivo de CPU o ancho de banda cuando no está ejecutando nada demasiado exigente, o en absoluto, puede ser una pista importante.
