Rootkits, jugando a las escondidas
Este artículo es un informe acerca de los Rootkits, aplicaciones con capacidades de ocultamiento, en el que se detallan sus cualidades, evolución, funcionamiento y los usos que se le dan con fines maliciosos.
En el artículo “Rootkits, jugando a las escondidas” se analiza a estas herramientas, a partir de su definición, funcionalidades y los usos que se le dan, muchas veces con fines delictivos. El objetivo de este informe es integrar los conocimientos actuales sobre este tipo de aplicaciones y la capacidad de los antivirus para lidiar con ellos.
Introducción
Actualmente, el malware contempla una gran cantidad de tipos de códigos maliciosos, diseñados específicamente para realizar una tarea puntual en el equipo infectado.
Dentro de esta categorización se suele ubicar a los rootkits como códigos dañinos capaces de cultar acciones al sistema y/o al usuario. Sin embargo, esta definición se ajusta tan sólo en parte al concepto y el objetivo del presente es integrar los conocimientos actuales sobre este tipo de herramientas y la capacidad de los antivirus para lidiar con ellas.
Reseña histórica y definición
Antes de comenzar con los detalles técnicos, es apropiado realizar una síntesis de la evolución de los rootkits y más precisamente, del por qué de su denominación y un detalle de sus funcionalidades.
Típicamente, se llama root al usuario con mayores privilegios dentro del sistema operativo Unix o derivados. Cualquier usuario distinto de root tiene menores privilegios. Por este motivo, los permisos de este usuario son los que cualquier persona o proceso ajeno al sistema desea poder obtener para realizar acciones no deseadas.
Por esto, originalmente el término root-kit correspondía a un conjunto de herramientas que permiten el control del usuario root y de los procesos del sistema operativo, a la vez que estas aplicaciones permanecen indetectables para el mismo y por ende, para el usuario.
La “necesidad” de autodefensa de los programas dañinos llevó a que los mismos evolucionen el incorporen técnicas de ocultación conocidas como steatlth, las cuales han sido utilizadas desde siempre en otros sistemas operativos como DOS y las primeras versiones de Windows.
Por citar un caso, en los ’90 un programa dañino denominado Whale ya era capaz de interceptar servicios de DOS y entregar al usuario datos falsificados de algún área del sistema.
Esta evolución de las aplicaciones dañinas llevó a que el término rootkit también fuera aplicado a aquellas versiones de Windows que permiten diferentes grados de acceso, aquellos con kernel NT (Windows NT, Windows 2000, Windows XP y Windows Vista), y no solo a los sistemas Unix.
Autor: Cristian Borghello CISSP, Technical & Educational Manager de ESET para Latinoamérica.