Volviendo con la serie de aprendizaje que mantenemos aquí, en esta ocasión vamos a hablar un poco de los rootkits. Primero repasaremos el origen del término y luego a qué se llama de esa manera hoy en día.
En un principio, se llamaban root kits dado que eran una serie de herramientas modificadas para ganar privilegios de usuario administrador en sistemas *nix (Unix, Linux, etc.). El nombre de “superusuario” en esos sistemas es root y dado que eran un conjunto de aplicaciones varias se trataban de un kit.
El objetivo del kit era poder realizar acciones que solo un administrador podría hacer, luego de haber ingresado al sistema, y luego mantenerlas ocultas de registros y logs del sistema.
Hoy por hoy, el término también se sigue utilizando para lo anterior, pero cuando nos referimos a sistemas Windows, el objetivo cambia, así como la definición en si misma.
Cuando hablamos de rootkits en Windows, nos referimos a aplicaciones que son capaces de ocultarse en el sistema, evitando que sus procesos, archivos y relacionados puedan ser vistos por vías normales, sin tener en cuenta el usuario utilizado, administrador o no.
Incluso, ya no son un kit de herramientas per se, sino que se trata más bien de técnicas que se incorporan a otros códigos maliciosos, o de una única herramienta que permite ocultar otros procesos y/o archivos maliciosos.
La problemática de los rootkits en Windows es que, debido a la forma en que trabajan, no se pueden detectar por métodos normales, por ende, tampoco pueden eliminarse fácilmente. Se basan en “funcionalidades” del sistema operativo que permiten este tipo de métodos de ocultación. Dado el origen del termino rootkit en Linux, y su actual vigencia, sería más lógico hablar de stealthing cuando nos referimos a Windows.
Las técnicas rootkits son ampliamente utilizadas hoy en día en sistemas Windows lo que lleva a necesitar herramientas y/o pasos adicionales para la eliminación de ciertos malware. No todos los productos de seguridad contra malware incorporan actualmente técnicas nativas de detección de rootkits activos en un sistema, y menos aún, de eliminación de los mismos.
“is”
No hay comentarios:
Publicar un comentario