ROOTKITS
Originalmente
el nombre de esta herramienta de malware se denominaba debido a que podía tomar
el control del root de Unix, sin embargo ha ido evolucionando, hasta hoy el
nombre sigue siendo el mismo pero el concepto ha cambiado, definiéndose como el
conjunto de herramientas que evita ser identificada por el sistema con el fin
de espiar o hacer un mal uso del sistema.
Hay
personas que confunden los términos de 0-day,
Exploit, con la funcionalidad de un
rootkit sin embargo esto es completamente diferente en cuanto a procesos,
mientras uno busca descubrir el proceso, el otro busca el porqué de ese proceso.
La importancia de este tipo de malware radica en que se centra en tomar el
control ya se del usuario o del kernel y de esta manera no ser detectado ya que
este en el modo usuario manipula los procesos de tal manera que al ejecutarse
un antivirus este inmediatamente ejecutara un proceso con información falsa de
tal manera que no será detectado y si toma el control del kernel será un tanto
más peligroso ya que toda la información será almacenada en un disco duro falso
creado por el rootkit. De igual manera existe otro tipo de rootkit basado en su
persistencia y este funciona al iniciarse el ordenador ya que contiene un
código que es almacenado al momento del arranque, sin embargo si se reinicia la
máquina este no es capaz de volver a ejecutarse.
Otro
punto importante es el modo en que se instalan
este tipo de malware, un rootkit normalmente se adquiere cuando se realizan
descarga de parches con la etiqueta de freeware o shareware estos contienen un
código malicioso de tal manera que al ejecutarse en el ordenador se instalan en
tu ordenador y de esta manera se ocultan para crear backdoors o bien apropiarse
de permisos del usuario o bien del kernel.
Para
la detección
de un rootkit existen varias maneras ya sea por medio de la detección basada en
firmas la cual consiste en la comparación de tu sistema con un conjunto de
malware ya conocido, otra es la detección basada en el comportamiento la cual
no es otra cosa que reconocer las desviaciones del sistema detectando así la
presencia de un rootkit, por otro lado tenemos la detección por comparación que
a mi parecer es la más recomendable ya que se encarga de comparar los
resultados arrojados por el sistema operativo y las pruebas que se realizan a
muy bajo nivel, detectando así los fallos del sistema. Es momento de centrar la
seguridad informática en este tipo de malware para poder crear una erradicación
segura, así como los virus han evolucionado, la seguridad no se tiene que
quedar atrás.
No hay comentarios.:
Publicar un comentario