Cuidado con los rootkits

Un rootkit es un software capaz de esconderse a sí mismo y también a otros programas, procesos e incluso puertos que posibilitarán al intruso ejecutar acciones maliciosas en el PC infectado. Mucho más peligrosos que los virus, os hablamos de ellos en este práctico

Ramón Egido

Cuidado con los rootkits

14 noviembre 2008

El término de rootkit hace referencia a un grupo de herramientas utilizadas por los ciberdelincuentes para ocultar su identidad y tener así el control de una máquina infectada sin ser detectado. Este problema afecta a diferentes sistemas operativos: Windows, Linux, Solaris, etc.

Hay dos tipos de rootkits. Por un lado, tenemos los que se integran en el núcleo. Estos modifican parte del código del núcleo del sistema para ocultar una puerta trasera mediante la que el atacante pueda entrar en el equipo infectado. Son los más peligrosos, ya que su detección es muy complicada.

Por otra parte, están los que funcionan a nivel de aplicación. Pueden cambiar archivos ejecutables de la máquina infectada por otros que contengan troyanos o que modifiquen la ejecución en algo que desee el atacante.

Paso 1

Entornos de riesgo

En nuestros ordenadores domésticos, los rootkits tienen una alta peligrosidad. Tened en cuenta que cada día se usa más la banca por Internet, por ejemplo, y los rootkits pueden ser capaces de interceptar datos procedentes de muchos sitios, incluido el teclado (keyloggers).

Los rootkits ocultan inicios de sesión, procesos, archivos y los logs generados en los registros. Habitualmente, se consideran troyanos. Las entidades bancarias, conocedoras de todos estos sistemas, van buscando nuevas vías de acceso a sus zonas privadas con nuevos métodos.

El método de la tarjeta de claves personalizada que entrega la entidad de forma individual para entrar en las páginas web comprometidas es considerado como uno de los más seguros, pues se trata de un producto cartesiano de valores; el sistema te pedirá una coordenada de forma aleatoria y, además, no se guarda en el ordenador. En definitiva, la tarjeta será tu firma electrónica y, en general, se utilizará cada vez que el sistema te pida una clave.

Paso 2

Para qué se usan

El objetivo más usual del rootkit es el de ocultar algunas aplicaciones que actúan en el sistema infectado. Una vez que se logra entrar por primera vez al ordenador atacado, normalmente se deja abierta una puerta trasera, como por ejemplo una consola que esté oculta al usuario y que se ejecute cada vez que el equipo invadido se conecte a Internet. En general, todo tipo de aplicaciones que usan estos ciberdelincuentes pueden ser ocultadas por los rootkits.

Pero, la búsqueda de datos importantes no es lo único para lo que se usan. También se emplean para lanzar ataques contra otros equipos desde el sistema infectado, quedando el atacante oculto y, por tanto, a salvo de posibles represalias. Un ejemplo claro de esto lo tenemos en el spam o correo basura.

Paso 3

Difícil detección

La detección es muy compleja, pues, si el sistema operativo está infectado, no es fiable. Es decir, algo tan sencillo como pedir la lista de procesos que se están ejecutando o ver los archivos de una determinada carpeta pasan a ser peticiones que pueden no dar el resultado real porque tal vez estas peticiones estén siendo alteradas por las aplicaciones que oculta el rootkit. Y esto es sólo un ejemplo.

Los rootkits suelen monitorizar la actividad de la máquina, de tal forma que ante un escaneo que los esté buscando se desactivan hasta que se finaliza su búsqueda. Este comportamiento de invisibilidad al detectar que alguien se acerca es lo que hace complicada su detección.

Paso 4

El arma de F-secure

Los fabricantes de antivirus han incorporado en sus aplicaciones herramientas de búsqueda para localizar movimientos sospechosos. Esto ha llevado a los creadores de rootkits a diseñar mecanismos de defensa contra los antivirus. Para sistemas Windows, F-Secure pone a nuestro alcance el detector de rootkits BlackLight, que se puede descargar gratuitamente desde www.f-secure.com/blacklight.

Después de instalarlo y aceptar el Acuerdo de Licencia de Uso, podremos empezar a sacar todo el partido a esta sencillísima herramienta. Pulsaremos el botón Scan para comenzar a analizar el equipo en busca de elementos ocultos y, si se localizara alguno, procederíamos a su limpieza a través del Paso 2, Step 2 - Cleaning previsto por el programa.

Finalmente, se nos presenta un resumen de las acciones realizadas; esto es, escaneo de procesos, archivos o carpetas ocultas, número de intrusos localizados y limpieza o renombre de los archivos afectados.

Paso 5

La propuesta de panda

Panda también cuenta con su Anti-Rootkit, un detector gratuito disponible en http://research.pandasecurity.com/archive/New-Panda-Anti_2D00_Root kit-_2D00_-Version-1.07.aspx. Como el de F-Secure, es muy asequible para cualquier usuario; pero, a diferencia de aquél, está en castellano.

Éste se organiza igualmente en tres pasos (escaneo, limpieza y resumen final), y lleva a cabo un análisis de los procesos y drivers en ejecución, el Registro de Windows, así como ficheros y ADS.

Paso 6

Otras alternativas

Otra aplicación de detección y eliminación de rootkits es Rootkit Revealer de Sysinternals, propiedad de Microsoft desde el 2006, que se hizo famosa por detectar el rootkit de Sony para la gestión de derechos digitales. Aunque hay algunos rootkits que ya están programados para evitar a este detector, se soluciona con algo tan sencillo como renombrar el ejecutable. Para Linux, los más populares son chkrootkit y rkhunter.

Cómo estar más seguro

En 2007, PandaLabs detectó un 272% más de ejemplares de rootkits que en 2006. En palabras de Luis Corrons, director técnico de PandaLabs, «actualmente, los ciberdelincuentes ya no buscan fama o notoriedad, sino conseguir un beneficio económico de sus infecciones.

Para lograr este fin, es primordial pasar inadvertido, ya que de esta manera aumentará el tiempo que el código malicioso permanece en el PC y, además, se evitará causar una alarma social y que los usuarios se protejan adecuadamente. Para esta labor, los rootkits son una herramienta idónea(...)». Cada día aparecen más de 3.000 nuevos ejemplares de malware, por lo que Panda nos recomienda:

1. Tener instalada una solución de seguridad eficaz y actualizada que sea capaz de detectar incluso amenazas desconocidas.

2. No llevar a cabo conductas poco seguras: abrir correos procedentes de fuentes desconocidas, abrir vínculos que lleguen por correo o mensajería instantánea en lugar de teclearlos en el navegador, o descargarse archivos sospechosos a través de redes P2P.

3. Mantener actualizados todos los programas que haya instalados en el equipo, para que ninguna vulnerabilidad sea empleada para introducir malware en el PC.

4. Analizar el ordenador en busca de malware con una solución on-line (…). Estas herramientas tienen acceso a una base mayor de conocimiento y, por lo tanto, son capaces de detectar más malware que las soluciones instaladas en el equipo.