STI 2020 ®

Rootkit infection.

Infección por rootkit: síntomas y soluciones

by

STI 2020®
in , , , ,

Existen varios tipos de malware que pueden llegar a nuestro equipo y afectar a su funcionamiento. Entre ellos nos encontramos con los denominados rootkit. Un rootkit o encubridor, es un conjunto de software que permite al atacante un acceso con «privilegios» a un ordenador, pero mantiene su presencia inicialmente oculta al control de los administradores, al descomponer el funcionamiento normal del sistema operativo. Vamos a tratar a fondo esta modalidad de malware y cómo actuar frente a ella.

Probablemente, habrá quienes se hayan aventurado a leer este artículo pero desconozcan sobre el tipo de malware del que vamos a hablar. Antes de entrar en detalle sobre los síntomas por los que vamos a poder detectar este tipo de malware, debemos conocerlo un poco más en profundidad, para saber a qué nos enfrentamos.

¿Qué es un rootkit?

Los llamados rootkits son programas informáticos maliciosos, que han sido diseñados para acceder y ocultarse en nuestros ordenadores. Por lo general, se ocultan del usuario y los procesos del sistema, mientras que conceden a los atacantes acceso al dispositivo, con privilegios de administrador.

Se puede decir que los rootkits son herramientas que proporcionan acceso privilegiado al kernel del sistema operativo. Una vez que se han incrustado en el software, abren una puerta trasera virtual a los atacantes. De esta forma, tendrán la oportunidad de entrar de forma remota en nuestros equipos para llevar a cabo acciones maliciosas. Pueden ser acciones tan peligrosas como el robo de datos personales o la destrucción de archivos del sistema. Además, se encargan de instalar otros tipos de malware o reclutar nuestro ordenador, para que pase a formar parte de un ejército de botnets.

Pero, los rootkits también pueden permitir ataques de denegación de servicio o DDoS, por los que el equipo se verá inundado de peticiones hasta el punto de no poder llevar a cabo sus funciones normales. Algunos atacantes utilizan este malware para tener acceso a la webcam y/o el micrófono del dispositivo.

El rootkit es una de las amenazas más peligrosas que nos podemos encontrar, por la dificultad para su detección.
Los rootkits, pueden permanecer ocultos en nuestro equipo poniendo en riesgo la seguridad de la información que manejamos o someter nuestro equipo a las órdenes de una botnet.

¿Qué síntomas pueden indicar la infección por este malware?

Una vez conocemos a qué nos enfrentamos cuando nuestro equipo es infectado por un rootkit, es importante saber cómo detectarlo, algo que no siempre resulta fácil. Uno de los principales objetivos de este código malicioso, lo cual lo convierte en peligroso, es pasar totalmente desapercibido. Pero, si estamos atentos, podremos detectar alguno de los síntomas para poder intentar deshacernos de este malware, lo antes posible.

Los rootkits están diseñados para permanecer ocultos, por lo que detectarlos puede resultar complicado. Cuanto más tiempo permanecen en el PC, mayor será el daño que puedan causar. Algunos son capaces de desactivar el software de seguridad, lo que les proporciona una tapadera adicional para sus acciones.

Estos son algunos de sus principales síntomas:

  • Pantallazos azules de la muerte. Estos temidos errores de Windows que aparecen de forma repentina en el sistema, pueden estar provocados por los rootkits. Son fallos que bloquean por completo el equipo y que nos obligan a reiniciar cada poco tiempo. Algo que puede ser desesperante.
  • Disminución del rendimiento del sistema. En caso de que detectemos una disminución importante del rendimiento del sistema operativo, también deberíamos sospechar. A esta mayor lentitud, se le pueden sumar constantes bloqueos y un uso forzado tanto del procesador como de la RAM.
  • Cambios en la configuración y los permisos del sistema. Nos podemos encontrar con determinados cambios en la configuración de Windows. Por ejemplo, el antivirus se desactiva por sí solo, nos encontramos con fondos de escritorio y salvapantallas no deseados, ocultación de la barra de tareas y otras anomalías. Por esta razón, debemos contar con un antivirus de confianza, que nos proteja frente a los rootkits, entre otras amenazas.
  • Internet funciona lento. Del mismo modo, podemos haber sido infectados por un rootkit, si experimentamos que las páginas web cada vez cargan de forma más lenta o la navegación por Internet se hace insufrible.

Un escaneo de rootkit, es el método más efectivo para que los usuarios y las organizaciones puedan detectar infecciones por rootkit. Este método escanea la búsqueda de firmas de ataque conocidas. Busca el malware a través del análisis de volcado de memoria, que descubre las instrucciones que ejecuta un rootkit en la memoria de la máquina.

Otro método que utilizan los escaneos de rootkit, es el análisis de comportamiento, que busca comportamientos similares al de los rootkit, en lugar del rootkit en sí. Este método es capaz de alertar a los usuarios sobre la presencia de un rootkit, incluso antes de que sepan que están siendo atacados por este malware.

Dificultad para encontrar y eliminar rootkits.
La dificultad de encontrar un rootkit, puede acarrear serios problemas para su eliminación.

Protección y eliminación de rootkit

Teniendo en cuenta que los rootkits son uno de los tipos de malware más difícil de eliminar de las máquinas infectadas, no existe un método garantizado para recuperar una máquina infectada por un rootkit, pero hay pasos que se pueden seguir para proteger los equipos y eliminar el malware.

Una vez detectado un rootkit, conviene seguir el siguiente proceso para eliminarlo:

  1. Hacer una copia de seguridad de los datos vitales: la reacción del rootkit tras la eliminación es impredecible y puede tener medidas defensivas integradas que podrían afectar o dañar el rendimiento de la máquina. Es vital hacer una copia de seguridad de cualquier dato y archivo importante que deba conservarse.
  2. Arranque en modo seguro: muchos rootkits intentan evitar que un usuario instale soluciones de seguridad o elimine el malware. En este caso, reiniciar la máquina en modo seguro con la red para limitar el acceso del rootkit al presionar F8 en la pantalla de inicio de Windows.
  3. Utilizar herramientas de escaneo de rootkit: la amplia gama de familias de rootkit significa que no todos los escaneos de rootkit serán capaces de descubrirlos. Por lo tanto, es importante utilizar una buena herramienta de escáner, que ofrezca una capacidad para su detección y fiabilidad del resultado obtenido.
  4. Congelar el malware restante: eliminar el rootkit por sí solo puede no garantizar que la máquina esté limpia. Puede haber sido infectado por otro malware que permanece activo o diseñado para evadir los escaneos de rootkit. Hay soluciones de seguridad que pueden congelar cualquier malware que permanezca en el sistema, lo que permite a los programas de eliminación de malware limpiar cualquier software malicioso.
  5. Eliminación avanzada del rootkit: algunos tipos de rootkit son particularmente difíciles de eliminar. Por ejemplo, es poco probable que un rootkit de firmware o hardware, se elimine mediante escaneos de rootkit estándar, y es posible que el usuario deba realizar una copia de seguridad, borrar sus datos de la máquina y volver a instalar el SO. Sin embargo, en el caso de un rootkit dirigido a la BIOS, incluso una limpieza y una reinstalación pueden no ser suficientes para eliminar el software malicioso. Esto puede requerir que la unidad BIOS se limpie y reemplace junto con un restablecimiento duro de la máquina.

Prevención de infecciones por rootkit

Pese a que los rootkits pueden ser extremadamente difíciles de eliminar, se puede evitar que infecten a las máquinas de la misma manera que otras formas de malware. Para ello, los pasos básicos a seguir para evitar la infección por rootkit incluyen:

  1. Conciencia sobre la suplantación de identidad: la suplantación de identidad es uno de los métodos más comunes para infectar máquinas mediante malware. Un atacante envía un correo electrónico no deseado o mensaje que parece legítimo, pero que contiene archivos adjuntos o enlaces maliciosos, que puede utilizar para infiltrarse en la máquina. Por lo tanto, es vital que los usuarios conozcan las tácticas de ataque de suplantación de identidad comunes, verifiquen siempre la dirección de correo electrónico de un remitente y nunca pinchen sobre enlaces de dudosa fiabilidad en mensajes de correo electrónico u otros.
  2. Actualizaciones de software: no se admitirá el software obsoleto o que haya llegado al final de su vida útil. Esto hace que el programa o sistema sea más vulnerable a los ataques que los infectan con malware como rootkits. Por lo tanto, actualizar el software y asegurarse de que esté configurado para actualizarse automáticamente, es una de las mejores defensas contra los rootkits. 
  3. Utilizar una buena herramienta antivirus: el software antivirus por sí solo no es una defensa sólida contra los ciberataques. Sin embargo, los sistemas antivirus deben ser parte de una solución de seguridad para la lucha contra el malware y ayudan a los usuarios a descubrir la presencia de rootkits. 
  4. Escanear y filtrar el tráfico de red: además de los sistemas antivirus, conviene utilizar software de filtrado de tráfico para monitorizar y escanear el tráfico que entra y sale de las redes en todo momento. Este software escanea el tráfico entrante y saliente para detectar malware antes de que pueda infiltrarse en las máquinas.

La concienciación es la primera línea de defensa contra los rootkits: detectar temprano, aislar rápido y aprender siempre para que el silencio del sistema no se convierta en cómplice.

Descubre más desde STI 2020 ®

Suscríbete y recibe las últimas entradas en tu correo electrónico.

Comentarios

Deja un comentario

Este sitio utiliza Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.