Rootkit


Un RootKit es un programa o conjunto de programas que un intruso usa para esconder su presencia en un sistema y le permite acceder en el futuro para manipular este sistema.

Para completar su objetivo, un Rootkit altera el flujo de ejecución del sistema operativo o manipula un conjuntos de datos del sistema para evitar la auditoria.

Un rootkit no es un exploit, es lo que el atacante usa después del exploit inicial. En algunos aspectos, un rootkit es más interesante que un Exploit, incluso que uno 0-day. Algunos de nosotros somos reticentes a creer en el hecho de que más vulnerabilidades continuaran siendo descubiertas. La Seguridad Informática es sobre todo manejo del riesgo.

Un Exploit 0-day es una bala, pero un Rootkit puede decir mucho del atacante, como cuál era su motivación para disparar.

Windows es diseñado con seguridad y estabilidad en mente. El núcleo (kernel) debe ser protegido de las aplicaciones de usuario, pero estas aplicaciones requieren cierta funcionalidad desde el kernel.

Para proveer esto Windows implementa dos modos de ejecución: modo usuario y modo kernel. Windows hoy solo soporta esos dos modos, aunque las CPU Intel y AMD soportan cuatro modos de privilegios o anillos en sus chips para proteger el codigo y datos del sistema de sobreescrituras maliciosas o inadvertidas por parte de código de menor privilegio.

Originalmente el término RootKit proviene de sistemas Unix y hacía referencia a pequeñas utilidades y herramientas que permitían acceso como "root" de esos sistemas.

El término ha evolucionado y actualmente es un conjunto de herramientas utilizadas en cualquier sistema para conseguir acceder ilícitamente al mismo. Generalmente se los utiliza para ocultar procesos y programas que permiten acceso al sistema atacado, incluso tomar control de parte del mismo.

Es importante remarcar que un Rootkit no es un Malware en sí mismo pero, debido a que es utilizado ampliamente para ocultar los mismos, muchas veces se lo considera incorrectamente como programa dañino.

Actualmente, incluso son utilizados por ciertas empresas para controlar componentes del sistema y permitir o denegar su utilización. Hay que remarcar que el uso de estos programas es éticamente incorrecto (o incluso ilegal), ya que se hace sin la autorización expresa del usuario.


Páginas relacionadas

http://www.securityfocus.com/infocus/1850
Sitio sobre Rootkits
Sitio sobre Antirootkits
http://www.sysinternals.com/blog/2005/10/sony-rootkits-and-digital-rights.html
El caso Sony minuto a minuto
El rootkit del DRM de Sony: la verdadera historia


AntiRootkits para Win*

F-Secure BlackLight
RootkitRevealer by SysInternals
RootKit Hook Analyzer
DarkSpy Anti-Rootkit
Sophos RootKit
Flister - SVV - ModGreper
Gmer
IceSword

AntiRootkits para *Nix

RootKit Hunter
Tiger


Con más de 24 años de experiencia compartiendo la mejor información de Seguridad

Contacto