¿Qué es un Rootkit?

Publicado hace 7 años por en Amenazas Informáticas Seguridad Informática

Rootkit es una o más herramientas diseñadas para mantener en forma encubierta el control de una computadora. Estas pueden ser programas, archivos, procesos, puertos y cualquier componente lógico que permita al atacante mantener el acceso y el control del sistema.

El rootkit no es un software maligno en sí mismo, sino que permite ocultar las acciones malignas que se desarrollen en el ordenador, tanto a través de un atacante como así también ocultando otros códigos maliciosos que estén trabajando en el sistema, como gusanos o troyanos. Otras amenazas incorporan y se fusionan con técnicas de rootkit para disminuir la probabilidad de ser detectados.

Los rootkits por lo general, se encargan de ocultar los procesos del sistema que sean malignos. También intentan deshabilitar cualquier tipo de software de seguridad. Las actividades ocultadas no son siempre explícitamente maliciosas. Muchos rootkits ocultan inicios de sesión, información de procesos o registros.

Inicialmente los rootkit aparecieron en el sistema operativo UNIX y eran una colección de una o más herramientas que le permitían al atacante conseguir y mantener el acceso al usuario de la computadora más privilegiado (en los sistemas UNIX, este usuario se llama *root* y de ahí su nombre). En los sistemas basados en Windows, los rootkits se han asociado en general con herramientas usadas para ocultar programas o procesos al usuario. Una vez que se instala, el rootkit utiliza funciones del sistema operativo para ocultarse, de manera tal de no ser detectado y es usado en general para ocultar otros programas dañinos.

Un rootkit ataca directamente el funcionamiento de base de un sistema operativo. En linux, modificando y trabajando directamente en el kernel del sistema. En Windows, interceptando los APIs (Interfaz de Aplicaciones de Programación) del sistema operativo. Estas, interactúan entre el usuario y el kernel; de esta forma, el rootkit manipula el kernel sin trabajar directamente en él como en el caso del software libre.

Existen otros tipos de rootkit, que persiguen el mismo fin: ocultar actividades en el sistema. Los BootRootkits atacan el sector de arranque y modifican la secuencia de arranque para cargarse en memoria antes de cargar el sistema operativo original. Otros rootkits atacan, en lugar del sistema operativo, directamente las aplicaciones utilizando parches o inyecciones de código y modificando su comportamiento respecto al habitual.

Referencia:

Centro de Amenazas ESET


 

Dejar un comentario