rootkit

Software diseñado para permitir el acceso a ubicaciones no autorizadas en una computadora

Un rootkit es una colección de software informático , normalmente malicioso, diseñado para permitir el acceso a un ordenador o a un área de su software que de otro modo no está permitido (por ejemplo, a un usuario no autorizado) y, a menudo, enmascara su existencia o la existencia de otro software. . ^[1] El término rootkit es un compuesto de " root " (el nombre tradicional de la cuenta privilegiada en sistemas operativos tipo Unix ) y la palabra "kit" (que se refiere a los componentes de software que implementan la herramienta). ^[2] El término "rootkit" tiene connotaciones negativas debido a su asociación con malware . ^[1]

La instalación de rootkit puede automatizarse o un atacante puede instalarlo después de haber obtenido acceso de root o de administrador. ^[3] La obtención de este acceso es el resultado de un ataque directo a un sistema, es decir, la explotación de una vulnerabilidad (como la escalada de privilegios ) o una contraseña (obtenida mediante craqueo o tácticas de ingeniería social como " phishing "). Una vez instalado, es posible ocultar la intrusión y mantener el acceso privilegiado. El control total sobre un sistema significa que el software existente puede modificarse, incluido el software que de otro modo podría usarse para detectarlo o eludirlo.

La detección de rootkits es difícil porque un rootkit puede subvertir el software destinado a encontrarlo. Los métodos de detección incluyen el uso de un sistema operativo alternativo y confiable , métodos basados ​​en el comportamiento, escaneo de firmas, escaneo de diferencias y análisis de volcado de memoria . La eliminación puede resultar complicada o prácticamente imposible, especialmente en los casos en los que el rootkit reside en el kernel ; La reinstalación del sistema operativo puede ser la única solución disponible al problema. Cuando se trata de rootkits de firmware , la eliminación puede requerir el reemplazo del hardware o equipo especializado.

Historia

El término rootkit o rootkit originalmente se refería a un conjunto de herramientas administrativas modificadas maliciosamente para un sistema operativo tipo Unix que otorgaba acceso " root ". ^[4] Si un intruso pudiera reemplazar las herramientas administrativas estándar en un sistema con un rootkit, el intruso podría obtener acceso raíz en el sistema y al mismo tiempo ocultar estas actividades al administrador legítimo del sistema . Estos rootkits de primera generación eran fáciles de detectar mediante el uso de herramientas como Tripwire que no habían sido comprometidas para acceder a la misma información. ^{[5] [6]} Lane Davis y Steven Dake escribieron el primer rootkit conocido en 1990 para el sistema operativo SunOS UNIX de Sun Microsystems . ^[7] En la conferencia que dio al recibir el premio Turing en 1983, Ken Thompson de Bell Labs , uno de los creadores de Unix , teorizó sobre la subversión del compilador C en una distribución Unix y discutió el exploit. El compilador modificado detectaría intentos de compilar el comando Unix y generaría código alterado que aceptaría no sólo la contraseña correcta del usuario, sino también una contraseña adicional de " puerta trasera " conocida por el atacante. Además, el compilador detectaría intentos de compilar una nueva versión del compilador e insertaría los mismos exploits en el nuevo compilador. Una revisión del código fuente del comando o del compilador actualizado no revelaría ningún código malicioso. ^[8] Este exploit era equivalente a un rootkit.loginlogin

El primer virus informático documentado dirigido a la computadora personal , descubierto en 1986, utilizó técnicas de encubrimiento para ocultarse: el virus Brain interceptó los intentos de leer el sector de arranque y los redirigió a otra parte del disco, donde se encontraba una copia del sector de arranque original. se mantuvo. ^[1] Con el tiempo, los métodos de encubrimiento de virus de DOS se volvieron más sofisticados. Las técnicas avanzadas incluían conectar llamadas de interrupción del BIOS INT 13H de disco de bajo nivel para ocultar modificaciones no autorizadas a los archivos. ^[1]

El primer rootkit malicioso para el sistema operativo Windows NT apareció en 1999: un troyano llamado NTRootkit creado por Greg Hoglund . ^[9] Le siguió HackerDefender en 2003. ^[1] El primer rootkit dirigido a Mac OS X apareció en 2009, ^[10] mientras que el gusano Stuxnet fue el primero en apuntar a controladores lógicos programables (PLC). ^[11]

Escándalo del rootkit de protección de copia de Sony BMG

Captura de pantalla de RootkitRevealer , que muestra los archivos ocultos por el rootkit de protección de copia extendida

En 2005, Sony BMG publicó CD con protección de copia y software de gestión de derechos digitales llamado Extended Copy Protection , creado por la empresa de software First 4 Internet. El software incluía un reproductor de música pero instalaba silenciosamente un rootkit que limitaba la capacidad del usuario para acceder al CD. ^[12] El ingeniero de software Mark Russinovich , que creó la herramienta de detección de rootkits RootkitRevealer , descubrió el rootkit en una de sus computadoras. ^[1] El escándalo resultante aumentó la conciencia pública sobre los rootkits. ^[13] Para ocultarse, el rootkit ocultó al usuario cualquier archivo que comenzara con "$sys$". Poco después del informe de Russinovich, apareció malware que se aprovechaba del rootkit existente en los sistemas afectados. ^[1] Un analista de la BBC lo llamó una " pesadilla de relaciones públicas ". ^[14] Sony BMG lanzó parches para desinstalar el rootkit, pero expuso a los usuarios a una vulnerabilidad aún más grave. ^[15] La empresa finalmente retiró los CD. En Estados Unidos se presentó una demanda colectiva contra Sony BMG. ^[dieciséis]

Caso de escuchas telefónicas griegas 2004-2005

El caso de escuchas telefónicas griegas de 2004-2005 , también conocido como Watergate griego, ^[17] involucró la escucha ilegal de más de 100  teléfonos móviles en la red Vodafone Grecia , pertenecientes en su mayoría a miembros del gobierno griego y a funcionarios de alto rango. Las escuchas comenzaron a principios de agosto de 2004 y se retiraron en marzo de 2005 sin descubrir la identidad de los autores. Los intrusos instalaron un rootkit dirigido a la central telefónica AX de Ericsson . Según IEEE Spectrum , esta fue "la primera vez que se observó un rootkit en un sistema de propósito especial, en este caso un conmutador telefónico Ericsson". ^[18] El rootkit fue diseñado para parchar la memoria del intercambio mientras se estaba ejecutando, habilitar escuchas telefónicas mientras se deshabilitan los registros de auditoría, parchear los comandos que enumeran los procesos activos y los bloques de datos activos, y modificar el comando de verificación de la suma de comprobación del bloque de datos . Una "puerta trasera" permitía a un operador con estatus de administrador de sistemas desactivar el registro de transacciones del intercambio, las alarmas y los comandos de acceso relacionados con la capacidad de vigilancia. ^[18] El rootkit se descubrió después de que los intrusos instalaron una actualización defectuosa, lo que provocó que los mensajes de texto SMS no se entregaran, lo que generó un informe de falla automatizado. Se llamó a los ingenieros de Ericsson para investigar la falla y descubrieron los bloques de datos ocultos que contenían la lista de números de teléfono que estaban siendo monitoreados, junto con el rootkit y el software de monitoreo ilícito.

Usos

Los rootkits modernos no elevan el acceso, ^[4] sino que se utilizan para hacer que otra carga útil de software sea indetectable al agregar capacidades sigilosas. ^[9] La mayoría de los rootkits se clasifican como malware porque las cargas útiles que contienen son maliciosas. Por ejemplo, una carga útil podría robar de forma encubierta contraseñas de usuarios , información de tarjetas de crédito , recursos informáticos o realizar otras actividades no autorizadas. Los usuarios de un pequeño número de rootkits pueden considerar aplicaciones de utilidad: por ejemplo, un rootkit puede ocultar un controlador de emulación de CD-ROM , lo que permite a los usuarios de videojuegos superar las medidas antipiratería que requieren la inserción del medio de instalación original en un dispositivo físico. unidad óptica para verificar que el software se compró legítimamente.

Los rootkits y sus cargas útiles tienen muchos usos:

• Proporcionar a un atacante acceso completo a través de una puerta trasera , permitiendo el acceso no autorizado para, por ejemplo, robar o falsificar documentos. Una de las formas de llevar a cabo esto es subvertir el mecanismo de inicio de sesión, como el programa /bin/login en sistemas tipo Unix o GINA en Windows. El reemplazo parece funcionar normalmente, pero también acepta una combinación de inicio de sesión secreta que permite a un atacante acceder directamente al sistema con privilegios administrativos, evitando los mecanismos estándar de autenticación y autorización .
• Ocultar otros programas maliciosos , en particular registradores de claves que roban contraseñas y virus informáticos . ^[19]
• Apropiarse de la máquina comprometida como una computadora zombie para ataques a otras computadoras. (El ataque se origina en el sistema o la red comprometidos, en lugar del sistema del atacante). Las computadoras "zombis" suelen ser miembros de grandes botnets que pueden, entre otras cosas, lanzar ataques de denegación de servicio , distribuir correo no deseado y realizar clics . fraude . ^[20]

En algunos casos, los rootkits proporcionan la funcionalidad deseada y pueden instalarse intencionalmente en nombre del usuario de la computadora:

• Detectar ataques, por ejemplo, en un honeypot . ^[21]
• Mejore el software de emulación y el software de seguridad. ^[22] Alcohol 120% y Daemon Tools son ejemplos comerciales de rootkits no hostiles utilizados para anular mecanismos de protección contra copia como SafeDisc y SecuROM . ^[23] El software antivirus Kaspersky también utiliza técnicas similares a los rootkits para protegerse de acciones maliciosas. Carga sus propios controladores para interceptar la actividad del sistema y luego evita que otros procesos se dañen a sí mismos. Sus procesos no están ocultos, pero no pueden finalizarse mediante métodos estándar.
• Protección antirrobo: las computadoras portátiles pueden tener software rootkit basado en BIOS que informará periódicamente a una autoridad central, lo que permitirá monitorear, desactivar o borrar la información de la computadora portátil en caso de robo. ^[24]
• Omitir la activación de productos de Microsoft ^[25]

Tipos

Hay al menos cinco tipos de rootkit, que van desde aquellos en el nivel más bajo de firmware (con los privilegios más altos) hasta las variantes basadas en usuarios con menos privilegios que operan en Ring 3 . Pueden producirse combinaciones híbridas de estos que abarquen, por ejemplo, el modo de usuario y el modo kernel. ^[26]

Modo de usuario

Anillos de seguridad informática (tenga en cuenta que el Anillo -1 no se muestra)

Los rootkits en modo de usuario se ejecutan en Ring 3 , junto con otras aplicaciones como usuario, en lugar de procesos del sistema de bajo nivel. ^[27] Tienen una serie de posibles vectores de instalación para interceptar y modificar el comportamiento estándar de las interfaces de programación de aplicaciones (API). Algunos inyectan una biblioteca vinculada dinámicamente (como un archivo .DLL en Windows o un archivo .dylib en Mac OS X ) en otros procesos y, por lo tanto, pueden ejecutarse dentro de cualquier proceso de destino para falsificarlo; otros con privilegios suficientes simplemente sobrescriben la memoria de una aplicación de destino. Los mecanismos de inyección incluyen: ^[27]

• Uso de extensiones de aplicaciones proporcionadas por el proveedor. Por ejemplo, el Explorador de Windows tiene interfaces públicas que permiten a terceros ampliar su funcionalidad.
• Interceptación de mensajes .
• Depuradores .
• Explotación de vulnerabilidades de seguridad .
• Enlace de funciones o parcheo de API de uso común, por ejemplo, para ocultar un proceso en ejecución o un archivo que reside en un sistema de archivos. ^[28]

...dado que todas las aplicaciones en modo usuario se ejecutan en su propio espacio de memoria, el rootkit necesita realizar este parche en el espacio de memoria de cada aplicación en ejecución. Además, el rootkit necesita monitorear el sistema para detectar cualquier aplicación nueva que se ejecute y parchear el espacio de memoria de esos programas antes de que se ejecuten por completo.

—  Descripción general de Windows Rootkit, Symantec ^[4]

Modo kernel

Los rootkits en modo kernel se ejecutan con los privilegios más altos del sistema operativo ( Anillo 0 ) agregando código o reemplazando partes del sistema operativo principal, incluido el kernel y los controladores de dispositivos asociados . ^{[ cita necesaria ]} La mayoría de los sistemas operativos admiten controladores de dispositivos en modo kernel, que se ejecutan con los mismos privilegios que el propio sistema operativo. Como tal, muchos rootkits en modo kernel se desarrollan como controladores de dispositivos o módulos cargables, como módulos de kernel cargables en Linux o controladores de dispositivos en Microsoft Windows . Esta clase de rootkit tiene acceso de seguridad ilimitado, pero es más difícil de escribir. ^[29] La complejidad hace que los errores sean comunes, y cualquier error en el código que opera a nivel del kernel puede afectar seriamente la estabilidad del sistema, lo que lleva al descubrimiento del rootkit. ^[29] Uno de los primeros rootkits de kernel ampliamente conocidos fue desarrollado para Windows NT 4.0 y publicado en la revista Phrack en 1999 por Greg Hoglund . ^{[30] [31]} Los rootkits del kernel pueden ser especialmente difíciles de detectar y eliminar porque operan al mismo nivel de seguridad que el propio sistema operativo y, por lo tanto, pueden interceptar o subvertir las operaciones más confiables del sistema operativo. Cualquier software, como el software antivirus , que se ejecute en el sistema comprometido es igualmente vulnerable. ^[32] En esta situación, no se puede confiar en ninguna parte del sistema.

Un rootkit puede modificar estructuras de datos en el kernel de Windows utilizando un método conocido como manipulación directa de objetos del kernel (DKOM). ^[33] Este método se puede utilizar para ocultar procesos. Un rootkit en modo kernel también puede conectar la tabla de descriptores de servicios del sistema (SSDT) ​​o modificar las puertas entre el modo usuario y el modo kernel, para ocultarse. ^[4] De manera similar, para el sistema operativo Linux , un rootkit puede modificar la tabla de llamadas del sistema para subvertir la funcionalidad del kernel. ^{[34] [35]} Es común que un rootkit cree un sistema de archivos oculto y cifrado en el que puede ocultar otro malware o copias originales de los archivos que ha infectado. ^[36] Los sistemas operativos están evolucionando para contrarrestar la amenaza de los rootkits en modo kernel. Por ejemplo, las ediciones de 64 bits de Microsoft Windows ahora implementan la firma obligatoria de todos los controladores a nivel de kernel para dificultar la ejecución de código que no es de confianza con los privilegios más altos en un sistema. ^[37]

kits de arranque

Una variante de rootkit en modo kernel llamada bootkit puede infectar código de inicio como Master Boot Record (MBR), Volume Boot Record (VBR) o sector de arranque , y de esta manera puede usarse para atacar sistemas de cifrado de disco completo . ^[38] Un ejemplo de un ataque de este tipo al cifrado de disco es el " ataque de sirvienta malvada ", en el que un atacante instala un kit de arranque en una computadora desatendida. El escenario imaginado es el de una criada colándose en la habitación del hotel donde las víctimas dejaron su hardware. ^[39] El bootkit reemplaza el cargador de arranque legítimo por uno bajo su control. Normalmente, el cargador de malware persiste durante la transición al modo protegido cuando el kernel se ha cargado y, por lo tanto, puede subvertir el kernel. ^{[40] [41] [42]} Por ejemplo, el "Stoned Bootkit" subvierte el sistema mediante el uso de un cargador de arranque comprometido para interceptar claves de cifrado y contraseñas. ^{[43] [ fuente autoeditada? ]} En 2010, el rootkit Alureon logró subvertir el requisito de la firma del controlador en modo kernel de 64 bits en Windows 7 , modificando el registro de arranque maestro . ^[44] Aunque no es malware en el sentido de hacer algo que el usuario no quiere, cierto software "Vista Loader" o "Windows Loader" funciona de manera similar al inyectar una tabla ACPI SLIC (código interno con licencia del sistema) en la RAM. -Versión almacenada en caché del BIOS durante el arranque, para anular el proceso de activación de Windows Vista y Windows 7 . ^{[ cita necesaria ]} Este vector de ataque se volvió inútil en las versiones (sin servidor) de Windows 8 , que usan una clave única y específica de la máquina para cada sistema, que solo puede ser utilizada por esa máquina. ^[45] Muchas empresas de antivirus ofrecen utilidades y programas gratuitos para eliminar bootkits.

Nivel de hipervisor

Los rootkits se han creado como hipervisores de tipo II en el mundo académico como pruebas de concepto. Al explotar funciones de virtualización de hardware como Intel VT o AMD-V , este tipo de rootkit se ejecuta en Ring -1 y aloja el sistema operativo de destino como una máquina virtual , lo que permite que el rootkit intercepte las llamadas de hardware realizadas por el sistema operativo original. ^[6] A diferencia de los hipervisores normales, no tienen que cargarse antes que el sistema operativo, pero pueden cargarse en un sistema operativo antes de promocionarlo a una máquina virtual. ^[6] Un rootkit de hipervisor no tiene que realizar ninguna modificación en el núcleo del objetivo para subvertirlo; sin embargo, eso no significa que el sistema operativo invitado no pueda detectarlo. Por ejemplo, las diferencias de tiempo pueden detectarse en las instrucciones de la CPU . ^[6] El rootkit de laboratorio "SubVirt", desarrollado conjuntamente por investigadores de Microsoft y la Universidad de Michigan , es un ejemplo académico de un rootkit basado en máquina virtual (VMBR), ^[46] mientras que el software Blue Pill es otro. En 2009, investigadores de Microsoft y la Universidad Estatal de Carolina del Norte demostraron un anti-rootkit de capa de hipervisor llamado Hooksafe , que proporciona protección genérica contra rootkits en modo kernel. ^[47] Windows 10 introdujo una nueva característica llamada "Device Guard", que aprovecha la virtualización para proporcionar protección externa independiente de un sistema operativo contra malware de tipo rootkit. ^[48]

Firmware y hardware

Un rootkit de firmware utiliza el firmware del dispositivo o de la plataforma para crear una imagen de malware persistente en el hardware, como un enrutador , una tarjeta de red , ^[49] disco duro o el BIOS del sistema . ^{[27] [50]} El rootkit se esconde en el firmware, porque normalmente no se inspecciona la integridad del código del firmware . John Heasman demostró la viabilidad de los rootkits de firmware tanto en rutinas de firmware ACPI ^[51] como en una tarjeta de expansión PCI ROM . ^[52] En octubre de 2008, los delincuentes manipularon las máquinas lectoras de tarjetas de crédito europeas antes de que fueran instaladas. Los dispositivos interceptaron y transmitieron datos de tarjetas de crédito a través de una red de telefonía móvil. ^[53] En marzo de 2009, los investigadores Alfredo Ortega y Aníbal Sacco publicaron detalles de un rootkit de Windows a nivel de BIOS que pudo sobrevivir al reemplazo del disco y a la reinstalación del sistema operativo. ^{[54] [55] [56]} Unos meses más tarde se enteraron de que algunas computadoras portátiles se venden con un rootkit legítimo, conocido como Absolute CompuTrace o Absolute LoJack for Laptops , preinstalado en muchas imágenes de BIOS. Se trata de un sistema de tecnología antirrobo que los investigadores demostraron que puede utilizarse con fines maliciosos. ^[24]

La tecnología Intel Active Management , parte de Intel vPro , implementa administración fuera de banda , brindando a los administradores administración remota , administración remota y control remoto de las PC sin la participación del procesador host o BIOS, incluso cuando el sistema está apagado. La administración remota incluye encendido y apagado remotos, reinicio remoto, arranque redirigido, redirección de consola, acceso previo al arranque a la configuración del BIOS, filtrado programable para el tráfico de red entrante y saliente, verificación de presencia del agente, basado en políticas fuera de banda alertas, acceso a información del sistema, como información de activos de hardware, registros de eventos persistentes y otra información que se almacena en la memoria dedicada (no en el disco duro) donde se puede acceder a ella incluso si el sistema operativo está inactivo o la PC está apagada. Algunas de estas funciones requieren el nivel más profundo de rootkit, una segunda computadora espía no extraíble construida alrededor de la computadora principal. Sandy Bridge y futuros chipsets tienen "la capacidad de matar y restaurar de forma remota una PC perdida o robada a través de 3G". Los rootkits de hardware integrados en el conjunto de chips pueden ayudar a recuperar computadoras robadas, eliminar datos o inutilizarlas, pero también presentan preocupaciones de privacidad y seguridad debido al espionaje indetectable y la redirección por parte de la administración o los piratas informáticos que podrían obtener el control.

Instalación y encubrimiento

Los rootkits emplean una variedad de técnicas para hacerse con el control de un sistema; El tipo de rootkit influye en la elección del vector de ataque. La técnica más común aprovecha las vulnerabilidades de seguridad para lograr una escalada subrepticia de privilegios . Otro enfoque es utilizar un caballo de Troya , engañando al usuario de la computadora haciéndole confiar en que el programa de instalación del rootkit es benigno; en este caso, la ingeniería social convence al usuario de que el rootkit es beneficioso. ^[29] La tarea de instalación se facilita si no se aplica el principio de privilegio mínimo , ya que el rootkit no tiene que solicitar explícitamente privilegios elevados (nivel de administrador). Otras clases de rootkits sólo pueden ser instaladas por alguien con acceso físico al sistema de destino. Algunos rootkits también pueden ser instalados intencionalmente por el propietario del sistema o por alguien autorizado por el propietario, por ejemplo, con el fin de monitorear a los empleados , lo que hace que dichas técnicas subversivas sean innecesarias. ^[57] Algunas instalaciones de rootkits maliciosos tienen fines comerciales, con un método de compensación de pago por instalación (PPI) típico de la distribución. ^{[58] [59]}

Una vez instalado, un rootkit toma medidas activas para ocultar su presencia dentro del sistema host mediante la subversión o evasión de las herramientas de seguridad estándar del sistema operativo y la interfaz de programación de aplicaciones (API) utilizadas para diagnóstico, escaneo y monitoreo. ^[60] Los rootkits logran esto modificando el comportamiento de las partes centrales de un sistema operativo mediante la carga de código en otros procesos, la instalación o modificación de controladores o módulos del kernel . Las técnicas de ofuscación incluyen ocultar procesos en ejecución de los mecanismos de monitoreo del sistema y ocultar archivos del sistema y otros datos de configuración. ^[61] No es raro que un rootkit deshabilite la capacidad de registro de eventos de un sistema operativo, en un intento de ocultar evidencia de un ataque. Los rootkits pueden, en teoría, subvertir cualquier actividad del sistema operativo. ^[62] El "rootkit perfecto" puede considerarse similar a un " crimen perfecto ": uno del que nadie se da cuenta de que ha tenido lugar. Los rootkits también toman una serie de medidas para garantizar su supervivencia contra la detección y la "limpieza" por parte del software antivirus, además de instalarse comúnmente en Ring 0 (modo kernel), donde tienen acceso completo a un sistema. Estos incluyen polimorfismo (cambiar para que su "firma" sea difícil de detectar), técnicas sigilosas, regeneración, deshabilitar o desactivar el software antimalware ^[63] y no instalar en máquinas virtuales donde puede ser más fácil para los investigadores descubrir y analizar. a ellos.

Detección

El problema fundamental con la detección de rootkits es que si el sistema operativo ha sido subvertido, particularmente por un rootkit a nivel de kernel, no se puede confiar en que encuentre modificaciones no autorizadas en sí mismo o en sus componentes. ^[62] No se puede confiar en que acciones como solicitar una lista de procesos en ejecución o una lista de archivos en un directorio se comporten como se espera. En otras palabras, los detectores de rootkits que funcionan mientras se ejecutan en sistemas infectados sólo son efectivos contra rootkits que tienen algún defecto en su camuflaje o que se ejecutan con privilegios de modo de usuario más bajos que el software de detección en el kernel. ^[29] Al igual que con los virus informáticos , la detección y eliminación de rootkits es una lucha constante entre ambos lados de este conflicto. ^[62] La detección puede adoptar varios enfoques diferentes, incluida la búsqueda de "firmas" de virus (por ejemplo, software antivirus), verificación de integridad (por ejemplo, firmas digitales ), detección basada en diferencias (comparación de resultados esperados versus reales) y detección de comportamiento. (por ejemplo, monitorear el uso de la CPU o el tráfico de la red).

Para los rootkits en modo kernel, la detección es considerablemente más compleja y requiere un escrutinio cuidadoso de la tabla de llamadas del sistema para buscar funciones enganchadas donde el malware pueda estar subvirtiendo el comportamiento del sistema, ^[64] así como un análisis forense de la memoria en busca de patrones que indiquen procesos ocultos. . Las ofertas de detección de rootkits de Unix incluyen Zeppoo, ^[65] chkrootkit , rkhunter y OSSEC . Para Windows, las herramientas de detección incluyen Microsoft Sysinternals RootkitRevealer , ^[66] Avast Antivirus , ^[67] Sophos Anti-Rootkit, ^[68] F-Secure , ^[69] Radix, ^[70] GMER , ^[71] y WindowsSCOPE . Cualquier detector de rootkits que resulte eficaz contribuye en última instancia a su propia ineficacia, ya que los autores de malware adaptan y prueban su código para escapar de la detección mediante herramientas bien utilizadas. ^{[Notas 1]} La detección al examinar el almacenamiento mientras el sistema operativo sospechoso no está operativo puede pasar por alto rootkits no reconocidos por el software de verificación, ya que el rootkit no está activo y se suprime el comportamiento sospechoso; El software antimalware convencional que se ejecuta con el rootkit operativo puede fallar si el rootkit se oculta de manera efectiva.

Medio alternativo de confianza

El mejor y más confiable método para la detección de rootkits a nivel del sistema operativo es apagar la computadora sospechosa de estar infectada y luego verificar su almacenamiento arrancando desde un medio confiable alternativo (por ejemplo, un CD-ROM de "rescate" o una unidad flash USB) . ). ^[72] La técnica es eficaz porque un rootkit no puede ocultar activamente su presencia si no se está ejecutando.

Basado en el comportamiento

El enfoque basado en el comportamiento para detectar rootkits intenta inferir la presencia de un rootkit buscando un comportamiento similar al de un rootkit. Por ejemplo, al crear perfiles de un sistema, las diferencias en el tiempo y la frecuencia de las llamadas API o en la utilización general de la CPU se pueden atribuir a un rootkit. El método es complejo y se ve obstaculizado por una alta incidencia de falsos positivos . Los rootkits defectuosos a veces pueden introducir cambios muy obvios en un sistema: el rootkit Alureon bloqueó los sistemas Windows después de que una actualización de seguridad expusiera una falla de diseño en su código. ^{[73] [74]} Los registros de un analizador de paquetes , un firewall o un sistema de prevención de intrusiones pueden presentar evidencia del comportamiento del rootkit en un entorno de red. ^[26]

Basado en firma

Los productos antivirus rara vez detectan todos los virus en pruebas públicas (dependiendo de qué se utilice y en qué medida), aunque los proveedores de software de seguridad incorporan la detección de rootkits en sus productos. Si un rootkit intenta ocultarse durante un análisis antivirus, un detector oculto puede detectarlo; Si el rootkit intenta descargarse temporalmente del sistema, la detección de firmas (o "huellas dactilares") aún puede encontrarlo. ^[75] Este enfoque combinado obliga a los atacantes a implementar mecanismos de contraataque, o rutinas "retro", que intentan finalizar los programas antivirus. Los métodos de detección basados ​​en firmas pueden ser eficaces contra rootkits bien publicados, pero no tanto contra rootkits de raíz personalizados y especialmente diseñados. ^[62]

Basado en diferencias

Otro método que puede detectar rootkits compara datos sin procesar "confiables" con contenido "contaminado" devuelto por una API . Por ejemplo, los archivos binarios presentes en el disco se pueden comparar con sus copias dentro de la memoria operativa (en algunos sistemas operativos, la imagen en memoria debe ser idéntica a la imagen en el disco), o los resultados devueltos por el sistema de archivos o las API del Registro de Windows se pueden comparar. pueden compararse con estructuras sin procesar en los discos físicos subyacentes ^{[62] [76]} ; sin embargo, en el caso del primero, algunos mecanismos del sistema operativo pueden introducir algunas diferencias válidas, como la reubicación de memoria o el shimming . Un rootkit puede detectar la presencia de un escáner basado en diferencias o una máquina virtual (esta última se usa comúnmente para realizar análisis forenses) y ajustar su comportamiento para que no se puedan detectar diferencias. La herramienta RootkitRevealer de Russinovich utilizó la detección basada en diferencias para encontrar el rootkit DRM de Sony. ^[1]

control de integridad

La utilidad rkhunter utiliza hashes SHA-1 para verificar la integridad de los archivos del sistema.

La firma de código utiliza una infraestructura de clave pública para comprobar si un archivo ha sido modificado desde que su editor lo firmó digitalmente . Alternativamente, el propietario o administrador del sistema puede utilizar una función hash criptográfica para calcular una "huella digital" en el momento de la instalación que puede ayudar a detectar cambios no autorizados posteriores en las bibliotecas de códigos en el disco. ^[77] Sin embargo, los esquemas poco sofisticados solo verifican si el código ha sido modificado desde el momento de la instalación; La subversión anterior a ese momento no es detectable. La huella digital debe restablecerse cada vez que se realizan cambios en el sistema: por ejemplo, después de instalar actualizaciones de seguridad o un service pack . La función hash crea un resumen del mensaje , un código relativamente corto calculado a partir de cada bit del archivo mediante un algoritmo que crea grandes cambios en el resumen del mensaje con cambios aún más pequeños en el archivo original. Al recalcular y comparar el resumen de mensajes de los archivos instalados a intervalos regulares con una lista confiable de resúmenes de mensajes, se pueden detectar y monitorear cambios en el sistema, siempre y cuando la línea de base original se haya creado antes de agregar el malware.

Los rootkits más sofisticados pueden subvertir el proceso de verificación presentando una copia no modificada del archivo para su inspección o realizando modificaciones en el código sólo en la memoria, registros de reconfiguración, que luego se comparan con una lista blanca de valores esperados. ^[78] El código que realiza operaciones de hash, comparación o extensión también debe protegerse; en este contexto, la noción de una raíz de confianza inmutable sostiene que el primer código que mide las propiedades de seguridad de un sistema debe ser confiable. para garantizar que un rootkit o bootkit no comprometa el sistema en su nivel más fundamental. ^[79]

Volcados de memoria

Forzar un volcado completo de la memoria virtual capturará un rootkit activo (o un volcado del kernel en el caso de un rootkit en modo kernel), lo que permitirá realizar un análisis forense sin conexión con un depurador del archivo de volcado resultante , sin que el rootkit pueda tomar cualquier medida para ocultarse. Esta técnica es altamente especializada y puede requerir acceso a código fuente no público o símbolos de depuración . Los volcados de memoria iniciados por el sistema operativo no siempre se pueden utilizar para detectar un rootkit basado en hipervisor, que es capaz de interceptar y subvertir los intentos de lectura de memoria de nivel más bajo ^[6] (un dispositivo de hardware, como uno que implementa un sistema no operativo) . interrupción enmascarable , es posible que sea necesario volcar la memoria en este escenario. ^{[80] [81]} Las máquinas virtuales también facilitan el análisis de la memoria de una máquina comprometida desde el hipervisor subyacente, por lo que algunos rootkits evitarán infectar máquinas virtuales por este motivo.

Eliminación

La eliminación manual de un rootkit suele ser extremadamente difícil para un usuario típico de computadora, ^[27] pero varios proveedores de software de seguridad ofrecen herramientas para detectar y eliminar automáticamente algunos rootkits, generalmente como parte de un paquete antivirus . A partir de 2005 , la herramienta de eliminación de software malintencionado de Windows^[actualizar] mensual de Microsoft puede detectar y eliminar algunas clases de rootkits. ^{[82] [83]} Además, Windows Defender Offline puede eliminar rootkits, ya que se ejecuta desde un entorno confiable antes de que se inicie el sistema operativo. ^[84] Algunos escáneres antivirus pueden eludir las API del sistema de archivos , que son vulnerables a la manipulación por parte de un rootkit. En su lugar, acceden directamente a las estructuras del sistema de archivos sin formato y utilizan esta información para validar los resultados de las API del sistema para identificar cualquier diferencia que pueda ser causada por un rootkit. ^{[Notas 2] [85] [86] [87] [88]} Hay expertos que creen que la única forma confiable de eliminarlos es reinstalar el sistema operativo desde un medio confiable. ^{[89] [90]} Esto se debe a que las herramientas de eliminación de antivirus y malware que se ejecutan en un sistema que no es de confianza pueden resultar ineficaces contra rootkits en modo kernel bien escritos. Arrancar un sistema operativo alternativo desde un medio confiable puede permitir montar un volumen de sistema infectado y potencialmente limpiarlo de manera segura y copiar datos críticos o, alternativamente, realizar un examen forense. ^[26] Para este fin se pueden utilizar sistemas operativos ligeros como Windows PE , Windows Recovery Console , Windows Recovery Environment , BartPE o Live Distros , permitiendo "limpiar" el sistema. Incluso si se conoce el tipo y la naturaleza de un rootkit, la reparación manual puede resultar poco práctica, mientras que reinstalar el sistema operativo y las aplicaciones es más seguro, sencillo y rápido. ^[89]

Defensas

El endurecimiento del sistema representa una de las primeras capas de defensa contra un rootkit, para evitar que pueda instalarse. ^[91] Aplicar parches de seguridad , implementar el principio de privilegio mínimo , reducir la superficie de ataque e instalar software antivirus son algunas de las mejores prácticas de seguridad estándar que son efectivas contra todas las clases de malware. ^[92] Se han diseñado nuevas especificaciones de arranque seguro como UEFI para abordar la amenaza de los kits de arranque, pero incluso estos son vulnerables si no se utilizan las funciones de seguridad que ofrecen. ^[50] Para los sistemas de servidores, la certificación de servidores remotos que utiliza tecnologías como Intel Trusted Execution Technology (TXT) proporciona una forma de verificar que los servidores permanecen en un buen estado conocido. Por ejemplo, el cifrado de datos en reposo de Microsoft Bitlocker verifica que los servidores se encuentren en un "buen estado" conocido durante el arranque. PrivateCore vCage es una oferta de software que protege los datos en uso (memoria) para evitar bootkits y rootkits verificando que los servidores se encuentren en un estado "bueno" conocido durante el arranque. La implementación de PrivateCore funciona en conjunto con Intel TXT y bloquea las interfaces del sistema del servidor para evitar posibles bootkits y rootkits.

Otro mecanismo de defensa llamado enfoque Virtual Wall (VTW), sirve como un hipervisor liviano con capacidades de detección de rootkits y seguimiento de eventos. En funcionamiento normal (modo invitado), Linux se ejecuta y cuando un LKM cargado viola las políticas de seguridad, el sistema cambia al modo host. El VTW en modo host detecta, rastrea y clasifica eventos de rootkit según el control de acceso a la memoria y los mecanismos de inyección de eventos. Los resultados experimentales demuestran la eficacia del VTW en la detección y defensa oportuna contra rootkits del kernel con una sobrecarga mínima de CPU (menos del 2%). El VTW se compara favorablemente con otros esquemas de defensa, enfatizando su simplicidad en la implementación y posibles ganancias de rendimiento en servidores Linux. ^[93]

Ver también

• conferencia de seguridad informática
• Sistema de detección de intrusiones basado en host
• Ataque de intermediario
• El arsenal de rootkits: escape y evasión en los rincones oscuros del sistema

Notas

1. El nombre del proceso de Sysinternals RootkitRevealer fue atacado por malware; En un intento de contrarrestar esta contramedida, la herramienta ahora utiliza un nombre de proceso generado aleatoriamente.
2. En teoría, un rootkit a nivel de kernel suficientemente sofisticado también podría subvertir las operaciones de lectura contra las estructuras de datos del sistema de archivos sin procesar, de modo que coincidan con los resultados devueltos por las API.

Referencias

1. "Rootkits, parte 1 de 3: la amenaza creciente" (PDF) . McAfee . 2006-04-17. Archivado desde el original (PDF) el 23 de agosto de 2006.
2. Evancich, N.; Li, J. (23 de agosto de 2016). "6.2.3 Rootkits". En Colbert, Edward JM; Kott, Alejandro (eds.). Ciberseguridad de SCADA y Otros Sistemas de Control Industrial . Saltador. pag. 100.ISBN _ 9783319321257– a través de libros de Google .
3. "¿Qué es Rootkit? Definición y explicación". www.kaspersky.com . 2021-04-09 . Consultado el 13 de noviembre de 2021 .
4. "Descripción general de Windows Rootkit" (PDF) . Symantec . 2006-03-26. Archivado desde el original (PDF) el 14 de diciembre de 2010 . Consultado el 17 de agosto de 2010 .
5. Chispas, Sherri; Mayordomo, Jamie (1 de agosto de 2005). "Elevando el listón para la detección de rootkits de Windows". Phrack . 0xb (x3d).
6. Myers, Michael; Youndt, Stephen (7 de agosto de 2007). Introducción a los rootkits de máquinas virtuales asistidas por hardware (HVM) (Informe). Seguridad crucial. CiteSeerX 10.1.1.90.8832 . 
7. Andrés heno; Daniel Cid; Rory Bray (2008). Guía de detección de intrusiones basada en host de OSSEC. Singreso. pag. 276.ISBN _ 978-1-59749-240-9– a través de libros de Google .
8. Thompson, Ken (agosto de 1984). "Reflexiones sobre confiar en la confianza" (PDF) . Comunicaciones de la ACM . 27 (8): 761. doi : 10.1145/358198.358210 .
9. Greg Hoglund; James mayordomo (2006). Rootkits: subvirtiendo el kernel de Windows. Addison-Wesley. pag. 4.ISBN _ 978-0-321-29431-9– a través de libros de Google .
10. Dai Zovi, Dino (26 de julio de 2009). Rootkits avanzados de Mac OS X (PDF) . Sombrero negro . Sistemas de finales . Consultado el 23 de noviembre de 2010 .
11. "Stuxnet presenta el primer rootkit conocido para sistemas de control industrial". Symantec . 2010-08-06 . Consultado el 4 de diciembre de 2010 .
12. "Detalle de software espía: XCP.Sony.Rootkit". Asociados de informática . 2005-11-05. Archivado desde el original el 18 de agosto de 2010 . Consultado el 19 de agosto de 2010 .
13. Russinovich, Mark (31 de octubre de 2005). "Sony, los rootkits y la gestión de derechos digitales han ido demasiado lejos". Blogs de TechNet . Microsoft . Consultado el 16 de agosto de 2010 .
14. "Problemas a largo plazo con el CD rootkit de Sony". Noticias de la BBC . 2005-11-21 . Consultado el 15 de septiembre de 2008 .
15. Felton, Ed (15 de noviembre de 2005). "El desinstalador basado en web de Sony abre un gran agujero de seguridad; Sony retirará los discos".
16. Caballero, Will (11 de noviembre de 2005). "Sony BMG fue demandada por software de ocultación en CD de música". Científico nuevo . Consultado el 21 de noviembre de 2010 .
17. Kyriakidou, Dina (2 de marzo de 2006). "El escándalo del " Watergate griego "envía ondas de choque políticas". Reuters . Consultado el 24 de noviembre de 2007 .^{[ enlace muerto ]}
18. Vassilis Prevelakis; Diomidis Spinellis (julio de 2007). "El asunto de Atenas".
19. Russinovich, Mark (junio de 2005). "Descubriendo kits de raíz". Windows TI profesional . Archivado desde el original el 18 de septiembre de 2012 . Consultado el 16 de diciembre de 2010 .
20. Marks, Joseph (1 de julio de 2021). "The Cybersecurity 202: el futuro del Departamento de Justicia está en interrumpir a los piratas informáticos, no solo en acusarlos". El Washington Post . Consultado el 24 de julio de 2021 .
21. Steve Hanna (septiembre de 2007). "Uso de la tecnología Rootkit para la detección de malware basado en Honeypot" (PDF) . Reunión del CCEID.
22. Russinovich, Mark (6 de febrero de 2006). "Uso de Rootkits para derrotar la gestión de derechos digitales". Invernales . Internos del sistema. Archivado desde el original el 14 de agosto de 2006 . Consultado el 13 de agosto de 2006 .
23. "Symantec lanza actualización para su propio Rootkit". HWM (marzo): 89. 2006 - vía Google Books .
24. Ortega, Alfredo; Sacco, Aníbal (24 de julio de 2009). Desactivar el Rootkit: Ataques a tecnologías antirrobo de BIOS (PDF) . Black Hat EE. UU. 2009 (PDF). Boston, MA: Tecnologías de seguridad básicas . Consultado el 12 de junio de 2014 .
25. Kleissner, Peter (2 de septiembre de 2009). "Stoned Bootkit: El auge de los rootkits y bootkits MBR en la naturaleza" (PDF) . Archivado desde el original (PDF) el 16 de julio de 2011 . Consultado el 23 de noviembre de 2010 .
26. Anson, Steve; Empavesado, Steve (2007). Dominar la investigación y el análisis forense de redes de Windows. John Wiley e hijos. págs. 73–74. ISBN 978-0-470-09762-5.
27. "Rootkits, parte 2: introducción técnica" (PDF) . McAfee . 2007-04-03. Archivado desde el original (PDF) el 5 de diciembre de 2008 . Consultado el 17 de agosto de 2010 .
28. Kdm. "NTIllusion: un rootkit portátil para el usuario de Win32". Phrack . 62 (12).
29. "Comprensión de las tecnologías antimalware" (PDF) . Microsoft . 2007-02-21. Archivado desde el original (PDF) el 11 de septiembre de 2010 . Consultado el 17 de agosto de 2010 .
30. Hoglund, Greg (9 de septiembre de 1999). "Un rootkit NT *REAL*, parcheando el kernel NT". Phrack . 9 (55) . Consultado el 21 de noviembre de 2010 .
31. Chuvakin, Anton (2 de febrero de 2003). Una descripción general de los rootkits de Unix (PDF) (Reporte). Chantilly, Virginia: iDEFENSA. Archivado desde el original (PDF) el 25 de julio de 2011 . Consultado el 21 de noviembre de 2010 .
32. Mayordomo, James; Chispas, Sherri (16 de noviembre de 2005). "Windows Rootkits de 2005, segunda parte". Conexión Symantec . Symantec . Consultado el 13 de noviembre de 2010 .
33. Mayordomo, James; Chispas, Sherri (3 de noviembre de 2005). "Rootkits de Windows de 2005, primera parte". Conexión Symantec . Symantec . Consultado el 12 de noviembre de 2010 .
34. Burdach, Mariusz (17 de noviembre de 2004). "Detección de rootkits y compromisos a nivel de kernel en Linux". Symantec . Consultado el 23 de noviembre de 2010 .
35. Osborne, Charlie (17 de septiembre de 2019). "El malware Skidmap se introduce en el kernel para ocultar la minería ilícita de criptomonedas". ZDNet . Consultado el 24 de julio de 2021 .
36. Marco Giuliani (11 de abril de 2011). "ZeroAccess: un rootkit en modo kernel avanzado" (PDF) . Software WebRoot . Consultado el 10 de agosto de 2011 .
37. "Requisitos de firma de controladores para Windows". Microsoft . Consultado el 6 de julio de 2008 .
38. Salter, Jim (31 de julio de 2020). "Los sistemas Red Hat y CentOS no arrancan debido a parches BootHole". Ars Técnica . Consultado el 24 de julio de 2021 .
39. Schneier, Bruce (23 de octubre de 2009). "'Ataques de Evil Maid a discos duros cifrados " . Consultado el 7 de noviembre de 2009 .
40. Söder, Derek; Permeh, Ryan (9 de mayo de 2007). "Arranque". Seguridad digital eEye. Archivado desde el original el 17 de agosto de 2013 . Consultado el 23 de noviembre de 2010 .
41. Kumar, Nitin; Kumar, VIPIN (2007). Vbootkit: comprometer la seguridad de Windows Vista (PDF) . Sombrero Negro Europa 2007.
42. "KIT DE ARRANQUE: Subversión de Windows 2000/XP/2003 basada en un sector de arranque personalizado". NVlabs . 2007-02-04. Archivado desde el original el 10 de junio de 2010 . Consultado el 21 de noviembre de 2010 .
43. Kleissner, Peter (19 de octubre de 2009). "Kit de botas drogado". Peter Kleissner . Consultado el 7 de noviembre de 2009 .^{[ fuente autoeditada ]}
44. Goodin, Dan (16 de noviembre de 2010). "El rootkit más avanzado del mundo penetra en Windows de 64 bits". El registro . Consultado el 22 de noviembre de 2010 .
45. Francisco, Neil McAllister en San. "Microsoft refuerza el control de las licencias OEM de Windows 8". www.theregister.com .
46. Rey, Samuel T.; Chen, Peter M.; Wang, Yi-Min; Verbowski, Chad; Wang, Helen J.; Lorch, Jacob R. (3 de abril de 2006). "SubVirt: Implementación de malware con máquinas virtuales" (PDF) . Simposio IEEE de 2006 sobre seguridad y privacidad (S&P'06) . Instituto de Ingenieros Eléctricos y Electrónicos . págs.14 págs.-327. doi :10.1109/SP.2006.38. ISBN 0-7695-2574-1. S2CID  1349303 . Consultado el 15 de septiembre de 2008 .
47. Wang, Zhi; Jiang, Xuxian; Cui, Weidong; Ning, Peng (11 de agosto de 2009). "Contrarrestar los rootkits del kernel con una protección de gancho ligera" (PDF) . En Al-Shaer, Ehab (presidente general) (ed.). Actas de la 16ª Conferencia ACM sobre seguridad informática y de las comunicaciones . CCS 2009: 16ª Conferencia ACM sobre seguridad informática y de las comunicaciones. Jha, Somesh; Keromytis, Angelos D. (Presidentes de programa). Nueva York: ACM Nueva York. doi :10.1145/1653662.1653728. ISBN 978-1-60558-894-0. Consultado el 11 de noviembre de 2009 .
48. "Device Guard es la combinación de control de aplicaciones de Windows Defender y protección de la integridad del código basada en virtualización (Windows 10)". 11 de julio de 2023.
49. Delugré, Guillaume (21 de noviembre de 2010). Revertir el firmware de Broacom NetExtreme (PDF) . hack.lu. Sogeti. Archivado desde el original (PDF) el 25 de abril de 2012 . Consultado el 25 de noviembre de 2010 .
50. "Hacking Team utiliza UEFI BIOS Rootkit para mantener el agente RCS 9 en los sistemas de destino - Blog de inteligencia de seguridad de TrendLabs". 2015-07-13.
51. Heasman, John (25 de enero de 2006). Implementación y detección de un rootkit de BIOS ACPI (PDF) . Black Hat Federal 2006. NGS Consulting . Consultado el 21 de noviembre de 2010 .
52. Heasman, John (15 de noviembre de 2006). "Implementación y detección de un Rootkit PCI" (PDF) . Software de seguridad de próxima generación. CiteSeerX : 10.1.1.89.7305 . Consultado el 13 de noviembre de 2010 .
53. Modine, Austin (10 de octubre de 2008). "El crimen organizado manipula los dispositivos de lectura de tarjetas europeos: los datos de los clientes se transmiten al extranjero". El registro . Publicación de situaciones . Consultado el 13 de octubre de 2008 .
54. Sacco, Aníbal; Ortega, Alfredo (2009). Infección persistente del BIOS (PDF) . CanSecWest 2009. Tecnologías de seguridad básicas. Archivado desde el original (PDF) el 8 de julio de 2011 . Consultado el 21 de noviembre de 2010 .
55. Goodin, Dan (24 de marzo de 2009). "Los rootkits novedosos sobreviven a la limpieza del disco duro". El registro . Publicación de situaciones . Consultado el 25 de marzo de 2009 .
56. Sacco, Aníbal; Ortega, Alfredo (1 de junio de 2009). "Infección persistente del BIOS: el que madruga atrapa al gusano". Phrack . 66 (7) . Consultado el 13 de noviembre de 2010 .
57. Ric Vieler (2007). Rootkits profesionales . John Wiley e hijos. pag. 244.ISBN _ 9780470149546.
58. Matrosov, Aleksandr; Rodionov, Eugenio (25 de junio de 2010). "TDL3: ¿El rootkit de todos los males?" (PDF) . Moscú: ESET . pag. 3. Archivado desde el original (PDF) el 13 de mayo de 2011 . Consultado el 17 de agosto de 2010 .
59. Matrosov, Aleksandr; Rodionov, Eugenio (27 de junio de 2011). "La evolución de TDL: conquistando x64" (PDF) . ESET . Archivado desde el original (PDF) el 29 de julio de 2015 . Consultado el 8 de agosto de 2011 .
60. Gatlan, Sergiu (6 de mayo de 2021). "Nuevo rootkit Moriya utilizado en la naturaleza para sistemas Windows de puerta trasera". Computadora que suena . Consultado el 24 de julio de 2021 .
61. Brumley, David (16 de noviembre de 1999). "Intrusos invisibles: rootkits en la práctica". USENIX .
62. Davis, Michael A.; Bodmer, Sean; LeMasters, Aaron (3 de septiembre de 2009). "Capítulo 10: Detección de rootkits" (PDF) . Hackear malware y rootkits expuestos: secretos y soluciones de seguridad de malware y rootkits . Nueva York: McGraw Hill Professional. ISBN 978-0-07-159118-8.
63. Trlokom (5 de julio de 2006). "Derrotar rootkits y keyloggers" (PDF) . Trlokom. Archivado desde el original (PDF) el 17 de julio de 2011 . Consultado el 17 de agosto de 2010 .
64. Dai Zovi, Dino (2011). "Rootkits del núcleo". Archivado desde el original el 10 de septiembre de 2012 . Consultado el 13 de septiembre de 2012 .
65. "Zepo". FuenteForge . 18 de julio de 2009 . Consultado el 8 de agosto de 2011 .
66. Diente, Bryce; Russinovich, Mark (1 de noviembre de 2006). "RootkitRevealer v1.71". Microsoft . Consultado el 13 de noviembre de 2010 .
67. "Rootkit y anti-rootkit" . Consultado el 13 de septiembre de 2017 .
68. "Sophos Anti-Rootkit". Sofos . Consultado el 8 de agosto de 2011 .
69. "Luz negra". F-Seguro . Archivado desde el original el 21 de septiembre de 2012 . Consultado el 8 de agosto de 2011 .
70. "Radix Anti-Rootkit". usec.at. Archivado desde el original el 21 de septiembre de 2012 . Consultado el 8 de agosto de 2011 .
71. "GMER" . Consultado el 8 de agosto de 2011 .
72. Harriman, Josh (19 de octubre de 2007). "Una metodología de prueba para la eficacia de la eliminación de rootkits" (PDF) . Dublín, Irlanda: Symantec Security Response. Archivado desde el original (PDF) el 7 de octubre de 2009 . Consultado el 17 de agosto de 2010 .
73. Cuibotariu, Mircea (12 de febrero de 2010). "Tidserv y MS10-015". Symantec . Consultado el 19 de agosto de 2010 .
74. "Problemas de reinicio después de instalar MS10-015". Microsoft . 2010-02-11 . Consultado el 5 de octubre de 2010 .
75. Steinberg, Joseph (9 de junio de 2021). "Lo que necesita saber sobre los registradores de teclas". bestantivirus.com . Consultado el 24 de julio de 2021 .
76. "Detección de rootkits Strider GhostBuster". Investigación de Microsoft. 2010-01-28. Archivado desde el original el 29 de julio de 2012 . Consultado el 14 de agosto de 2010 .
77. "Firma y verificación de código con Authenticode". Microsoft . Consultado el 15 de septiembre de 2008 .
78. "Detener los rootkits en el borde de la red" (PDF) . Beaverton, Oregón: Trusted Computing Group . Enero de 2017 . Consultado el 11 de julio de 2008 .
79. "Especificación de implementación específica de TCG PC, versión 1.1" (PDF) . Grupo de Computación de Confianza . 2003-08-18 . Consultado el 22 de noviembre de 2010 .
80. "Cómo generar un archivo de volcado de memoria completo o un archivo de volcado de memoria del kernel utilizando un NMI en un sistema basado en Windows". Microsoft . Consultado el 13 de noviembre de 2010 .
81. Seshadri, Arvind; et al. (2005). "Pionero". Actas del vigésimo simposio de ACM sobre principios de sistemas operativos . Universidad de Carnegie mellon . págs. 1–16. doi :10.1145/1095810.1095812. ISBN 1595930795. S2CID  9960430.
82. Dillard, Kurt (3 de agosto de 2005). "Batalla de rootkits: Rootkit Revealer contra Hacker Defender".
83. "La herramienta de eliminación de software malicioso de Microsoft Windows ayuda a eliminar software malicioso específico y frecuente de computadoras que ejecutan Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008 o Windows XP". Microsoft . 2010-09-14.
84. Bettany, Andrés; Halsey, Mike (2017). Solución de problemas de virus y malware de Windows. Presione. pag. 17.ISBN _ 9781484226070– a través de libros de Google .
85. Hultquist, Steve (30 de abril de 2007). "Rootkits: ¿la próxima gran amenaza empresarial?". InfoMundo . Consultado el 21 de noviembre de 2010 .
86. "Security Watch: Rootkits para divertirse y obtener ganancias". Reseñas de CNET. 2007-01-19. Archivado desde el original el 8 de octubre de 2012 . Consultado el 7 de abril de 2009 .
87. Bort, Julie (29 de septiembre de 2007). "Seis formas de luchar contra las botnets". Mundo PC . San Francisco: Comunicaciones PCWorld . Consultado el 7 de abril de 2009 .
88. Hoang, Mimi (2 de noviembre de 2006). "Manejo de las graves amenazas a la seguridad actuales: rootkits". Conexión Symantec . Symantec . Consultado el 21 de noviembre de 2010 .
89. Danseglio, Mike; Bailey, Tony (6 de octubre de 2005). "Rootkits: el oscuro ataque de los piratas informáticos". Microsoft.
90. Messmer, Ellen (26 de agosto de 2006). "Expertos divididos sobre la detección y eliminación de rootkits". NetworkWorld.com . Framingham, Massachusetts: IDG . Consultado el 15 de agosto de 2010 .
91. Skoudis, Ed; Zeltser, Lenny (2004). Malware: lucha contra el código malicioso. PTR de Prentice Hall. pag. 335.ISBN _ 978-0-13-101405-3.
92. Hannel, Jeromey (23 de enero de 2003). "Linux RootKits para principiantes: desde la prevención hasta la eliminación". Instituto SANS . Archivado desde el original (PDF) el 24 de octubre de 2010 . Consultado el 22 de noviembre de 2010 .
93. Li, Yong Gang; Chung, Yeh-Ching; Hwang, Kai; Li, Yue-Jin (2021). "Muro virtual: filtrado de ataques de rootkit para proteger las funciones del kernel de Linux". Transacciones IEEE en computadoras . 70 (10): 1640-1653. doi :10.1109/TC.2020.3022023. S2CID  226480878.

Otras lecturas

• Blunden, Bill (2009). The Rootkit Arsenal: escape y evasión en los rincones oscuros del sistema . Software de palabras. ISBN 978-1-59822-061-2.
• Hoglund, Greg; Mayordomo, James (2005). Rootkits: subvirtiendo el kernel de Windows . Profesional de Addison-Wesley. ISBN 978-0-321-29431-9.
• Grampp, pies; Morris, Robert H. Sr. (octubre de 1984). "El sistema UNIX: seguridad del sistema operativo UNIX". Revista técnica de AT&T Bell Laboratories . 62 (8): 1649-1672. doi :10.1002/j.1538-7305.1984.tb00058.x. S2CID  26877484.
• Kong, José (2007). Diseño de rootkits BSD . Sin prensa de almidón. ISBN 978-1-59327-142-8.
• Velor, Ric (2007). Rootkits profesionales . Wrox. ISBN 978-0-470-10154-4.

enlaces externos

• Medios relacionados con Rootkits en Wikimedia Commons