Un rootkit es un conjunto de software informático, generalmente malicioso, diseñado para permitir el acceso a un ordenador o a parte de su software que de otro modo no estaría permitido (por ejemplo, por un usuario no autorizado). Los rootkits suelen ocultar su presencia o la de otro software. [ 1 ] El término rootkit es un compuesto de " root " (el nombre tradicional de la cuenta privilegiada en sistemas operativos tipo Unix ) y la palabra "kit" (que se refiere a los componentes de software que implementan la herramienta). [ 2 ] El término "rootkit" tiene connotaciones negativas debido a su asociación con el malware . [ 1 ]
La instalación de un rootkit puede automatizarse, o bien un atacante puede instalarlo tras obtener acceso de administrador o de superusuario. [ 3 ] Este acceso se obtiene mediante un ataque directo al sistema, es decir, explotando una vulnerabilidad (como la escalada de privilegios ) o una contraseña (obtenida mediante técnicas de cracking o ingeniería social como el phishing ). Una vez instalado, es posible ocultar la intrusión y mantener el acceso privilegiado. El control total del sistema permite modificar el software existente, incluso el que podría utilizarse para detectarlo o eludirlo.
La detección de rootkits es difícil porque un rootkit puede burlar el software diseñado para detectarlo. Los métodos de detección incluyen el uso de un sistema operativo alternativo y confiable , métodos basados en el comportamiento, escaneo de firmas, escaneo de diferencias y análisis de volcados de memoria . La eliminación puede ser complicada, especialmente cuando el rootkit reside en el kernel ; la reinstalación del sistema operativo puede ser la única solución disponible. En el caso de rootkits de firmware , la eliminación puede requerir el reemplazo de hardware o equipos especializados.
Historia
El término rootkit , rkit o root kit originalmente se refería a un conjunto de herramientas administrativas modificadas maliciosamente para un sistema operativo tipo Unix que otorgaba acceso " root ". [ 4 ] Si un intruso podía reemplazar las herramientas administrativas estándar en un sistema con un rootkit, el intruso podía obtener acceso root sobre el sistema mientras ocultaba simultáneamente estas actividades al administrador legítimo del sistema . Estos rootkits de primera generación eran triviales de detectar utilizando herramientas como Tripwire que no habían sido comprometidas para acceder a la misma información. [ 5 ] [ 6 ] Lane Davis y Steven Dake escribieron el primer rootkit conocido en 1990 para el sistema operativo SunOS UNIX de Sun Microsystems . [ 7 ] En la conferencia que dio al recibir el Premio Turing en 1983, Ken Thompson de Bell Labs , uno de los creadores de Unix , teorizó sobre la subversión del compilador C en una distribución de Unix y discutió el exploit. El compilador modificado detectaría los intentos de compilar el comando Unix y generaría código alterado que aceptaría no solo la contraseña correcta del usuario, sino también una contraseña adicional de " puerta trasera " conocida por el atacante. Además, el compilador detectaría los intentos de compilar una nueva versión del compilador e insertaría los mismos exploits en la nueva versión. Una revisión del código fuente del comando o del compilador actualizado no revelaría ningún código malicioso. [ 8 ] Este exploit era equivalente a un rootkit.loginlogin
El primer virus informático documentado que atacó a la computadora personal , descubierto en 1986, utilizó técnicas de ocultación Helix para esconderse: el virus Brain interceptaba los intentos de leer el sector de arranque y los redirigía a otra parte del disco, donde se guardaba una copia del sector de arranque original. [ 1 ] Con el tiempo, los métodos de ocultación de los virus DOS se volvieron más sofisticados. Las técnicas avanzadas incluían la interceptación de llamadas de interrupción de BIOS INT 13H de bajo nivel del disco para ocultar modificaciones no autorizadas a los archivos. [ 1 ]
El primer rootkit malicioso para el sistema operativo Windows NT apareció en 1999: un troyano llamado NTRootkit creado por Greg Hoglund . [ 9 ] Le siguió HackerDefender en 2003. [ 1 ] El primer rootkit dirigido a Mac OS X , WeaponX/Weapox, apareció en 2004 [ 10 ] mientras que el gusano Stuxnet fue el primero en atacar controladores lógicos programables (PLC). [ 11 ]
Incidente de rootkit de BIOS de Lenovo (Lenovo Service Engine) (2015)
A mediados de 2015, se descubrió que Lenovo había estado distribuyendo ciertos ordenadores de consumo con un firmware que funcionaba como un rootkit integrado. Esta función, denominada Lenovo Service Engine (LSE), estaba integrada en la BIOS del sistema y se ejecutaba al iniciar, incluso antes de que arrancara Windows. LSE estaba diseñado para garantizar que la utilidad de actualización del sistema de Lenovo y los programas preinstalados relacionados permanecieran instalados, reinstalándolos automáticamente si se eliminaban. Dado que residía en el firmware, el código era difícil de detectar o eliminar para los usuarios; incluso una instalación limpia de Windows no eliminaba LSE, ya que se reinstalaba en el siguiente reinicio.
Posteriormente, los investigadores descubrieron que LSE introducía un grave problema de seguridad: una vulnerabilidad que permitía un ataque de escalada de privilegios (mediante un desbordamiento de búfer ) para obtener control de nivel administrador. En respuesta, Lenovo lanzó actualizaciones de BIOS y una utilidad de eliminación en 2015 para deshabilitar y eliminar la función LSE. Microsoft también actualizó sus directrices de seguridad de Windows para prohibir este tipo de comportamiento del firmware, lo que obligó a Lenovo a dejar de usar LSE en los nuevos sistemas. La funcionalidad LSE se eliminó de los modelos posteriores, y Lenovo instó a los clientes a instalar el firmware actualizado para eliminar el riesgo. [ 12 ] [ 13 ]
Stuxnet (2010)
Stuxnet, descubierto en 2010, era un gusano altamente sofisticado que se cree que fue desarrollado en una operación conjunta de inteligencia entre Estados Unidos e Israel dirigida a las instalaciones nucleares de Irán. [ 14 ] [ 15 ] [ 16 ] [ 17 ] Incluía un rootkit en modo kernel de Windows que ocultaba los archivos y procesos del malware, lo que permitía al gusano sabotear silenciosamente los sistemas de control industrial. Stuxnet se cita a menudo como la primera ciberarma conocida ; destruyó una parte significativa de las centrifugadoras de uranio de Irán , sin dejar de ser difícil de detectar. [ 18 ] [ 19 ] [ 20 ]
Escándalo del rootkit de protección anticopia de Sony BMG (2005)

En 2005, Sony BMG publicó CD con protección contra copia y software de gestión de derechos digitales llamado Extended Copy Protection , creado por la empresa de software First 4 Internet. El software incluía un reproductor de música, pero instalaba silenciosamente un rootkit que limitaba la capacidad del usuario para acceder al CD. [ 21 ] El ingeniero de software Mark Russinovich , creador de la herramienta de detección de rootkits RootkitRevealer , descubrió el rootkit en uno de sus ordenadores. [ 1 ] El escándalo resultante aumentó la concienciación pública sobre los rootkits. [ 22 ] Para ocultarse, el rootkit ocultaba al usuario cualquier archivo que comenzara con "$sys$". Poco después del informe de Russinovich, apareció malware que aprovechaba el rootkit existente en los sistemas afectados. [ 1 ] Un analista de la BBC lo calificó de " pesadilla de relaciones públicas ". [ 23 ] Sony BMG publicó parches para desinstalar el rootkit, lo que expuso a los usuarios a una vulnerabilidad aún más grave. [ 24 ] La empresa finalmente retiró los CD. En Estados Unidos, se presentó una demanda colectiva contra Sony BMG. [ 25 ]
Caso de escuchas telefónicas en Grecia (2004-2005)
El caso de escuchas telefónicas en Grecia de 2004-05 , también conocido como el Watergate griego, [ 26 ] implicó la interceptación ilegal de más de 100 teléfonos móviles en la red de Vodafone Grecia, pertenecientes en su mayoría a miembros del gobierno griego y altos funcionarios. Las escuchas comenzaron a principios de agosto de 2004 y se eliminaron en marzo de 2005 sin descubrir la identidad de los perpetradores. Los intrusos instalaron un rootkit dirigido a la central telefónica AXE de Ericsson . Según IEEE Spectrum , esta fue "la primera vez que se observó un rootkit en un sistema de propósito especial, en este caso una central telefónica de Ericsson". [ 27 ] El rootkit fue diseñado para parchear la memoria de la central mientras estaba en funcionamiento, habilitar las escuchas telefónicas deshabilitando los registros de auditoría, parchear los comandos que listan los procesos activos y los bloques de datos activos, y modificar el comando de verificación de suma de comprobación del bloque de datos . Una "puerta trasera" permitía a un operador con estatus de administrador del sistema desactivar el registro de transacciones, las alarmas y los comandos de acceso relacionados con la capacidad de vigilancia del sistema. [ 27 ] El rootkit se descubrió después de que los intrusos instalaran una actualización defectuosa, lo que provocó que los mensajes SMS no se entregaran, generando así un informe de fallos automático. Se solicitó la intervención de ingenieros de Ericsson para investigar el fallo, quienes descubrieron los bloques de datos ocultos que contenían la lista de números de teléfono monitorizados, junto con el rootkit y el software de monitorización ilícito.
Usos
Los rootkits modernos no elevan el acceso, [ 4 ] sino que se utilizan para hacer indetectable otra carga útil de software mediante la adición de capacidades de sigilo. [ 9 ] La mayoría de los rootkits se clasifican como malware , porque las cargas útiles con las que se incluyen son maliciosas. Por ejemplo, una carga útil podría robar de forma encubierta contraseñas de usuario , información de tarjetas de crédito , recursos informáticos o realizar otras actividades no autorizadas. Un pequeño número de rootkits puede ser considerado aplicaciones de utilidad por sus usuarios: por ejemplo, un rootkit podría ocultar un controlador de emulación de CD-ROM , lo que permite a los usuarios de videojuegos eludir las medidas antipiratería que requieren la inserción del medio de instalación original en una unidad óptica física para verificar que el software se compró legítimamente.
Los rootkits y sus cargas útiles tienen muchos usos:
- Proporcionar a un atacante acceso completo mediante una puerta trasera , permitiendo el acceso no autorizado para, por ejemplo, robar o falsificar documentos. Una forma de lograrlo es subvertir el mecanismo de inicio de sesión, como el programa /bin/login en sistemas tipo Unix o GINA en Windows. El programa sustituto parece funcionar con normalidad, pero también acepta una combinación de inicio de sesión secreta que permite al atacante acceder directamente al sistema con privilegios de administrador, eludiendo los mecanismos estándar de autenticación y autorización .
- Ocultar otro malware , especialmente registradores de pulsaciones de teclas que roban contraseñas y virus informáticos . [ 28 ]
- Apropiarse de la máquina comprometida como una computadora zombi para atacar otras computadoras. (El ataque se origina desde el sistema o red comprometida, en lugar del sistema del atacante). Las computadoras "zombi" suelen ser miembros de grandes botnets que pueden, entre otras cosas, lanzar ataques de denegación de servicio , distribuir correo basura y realizar fraude de clics . [ 29 ]
En algunos casos, los rootkits proporcionan la funcionalidad deseada y pueden instalarse intencionalmente en nombre del usuario del ordenador:
- Detectar ataques, por ejemplo, en un honeypot . [ 30 ]
- Mejora el software de emulación y el software de seguridad. [ 31 ] Alcohol 120% y Daemon Tools son ejemplos comerciales de rootkits no hostiles utilizados para eludir mecanismos de protección contra copias como SafeDisc y SecuROM . [ 32 ] El software antivirus Kaspersky también utiliza técnicas similares a las de los rootkits para protegerse de acciones maliciosas. Carga sus propios controladores para interceptar la actividad del sistema y luego impide que otros procesos le causen daño. Sus procesos no están ocultos, pero no pueden ser terminados por métodos estándar.
- Protección antirrobo: Los portátiles pueden tener software rootkit basado en BIOS que informa periódicamente a una autoridad central, lo que permite monitorizar, desactivar o borrar la información del portátil en caso de robo. [ 33 ]
- Cómo eludir la activación de productos de Microsoft [ 34 ]
Tipos
Existen al menos cinco tipos de rootkit, desde los que se encuentran en el nivel más bajo del firmware (con los privilegios más altos) hasta las variantes basadas en el usuario con los privilegios más bajos que operan en el Anillo 3. Pueden darse combinaciones híbridas de estos, que abarcan, por ejemplo, el modo de usuario y el modo kernel. [ 35 ]
Modo de usuario

Los rootkits en modo usuario se ejecutan en el Anillo 3 , junto con otras aplicaciones como usuario, en lugar de procesos de sistema de bajo nivel. [ 36 ] Tienen varios vectores de instalación posibles para interceptar y modificar el comportamiento estándar de las interfaces de programación de aplicaciones (API). Algunos inyectan una biblioteca de enlace dinámico (como un archivo .DLL en Windows o un archivo .dylib en Mac OS X ) en otros procesos, y de esta manera pueden ejecutarse dentro de cualquier proceso objetivo para suplantarlo; otros con privilegios suficientes simplemente sobrescriben la memoria de una aplicación objetivo. Los mecanismos de inyección incluyen: [ 36 ]
- Uso de extensiones de aplicaciones proporcionadas por el proveedor. Por ejemplo, el Explorador de Windows tiene interfaces públicas que permiten a terceros ampliar su funcionalidad.
- Intercepción de mensajes .
- Depuradores .
- Explotación de vulnerabilidades de seguridad .
- Intercepción o modificación de funciones de API de uso común, por ejemplo, para ocultar un proceso en ejecución o un archivo que reside en un sistema de archivos. [ 37 ]
Dado que las aplicaciones en modo usuario se ejecutan en su propio espacio de memoria, el rootkit necesita aplicar este parche en el espacio de memoria de cada aplicación en ejecución. Además, el rootkit debe monitorear el sistema en busca de nuevas aplicaciones que se ejecuten y parchear el espacio de memoria de esos programas antes de que se ejecuten por completo.
— Descripción general de los rootkits de Windows, Symantec [ 4 ]
Modo kernel
Los rootkits en modo kernel se ejecutan con los privilegios más altos del sistema operativo ( Anillo 0 ) al agregar código o reemplazar partes del núcleo del sistema operativo, incluyendo tanto el kernel como los controladores de dispositivos asociados . La mayoría de los sistemas operativos admiten controladores de dispositivos en modo kernel, que se ejecutan con los mismos privilegios que el propio sistema operativo. Por lo tanto, muchos rootkits en modo kernel se desarrollan como controladores de dispositivos o módulos cargables, como módulos de kernel cargables en Linux o controladores de dispositivos en Microsoft Windows . Esta clase de rootkit tiene acceso de seguridad sin restricciones, pero es más difícil de escribir. [ 38 ] La complejidad hace que los errores sean comunes, y cualquier error en el código que opera a nivel del kernel puede afectar seriamente la estabilidad del sistema, lo que lleva al descubrimiento del rootkit. [ 38 ] Uno de los primeros rootkits de kernel ampliamente conocidos fue desarrollado para Windows NT 4.0 y publicado en la revista Phrack en 1999 por Greg Hoglund . [ 39 ] [ 40 ] Los rootkits del kernel pueden ser especialmente difíciles de detectar y eliminar porque operan al mismo nivel de seguridad que el propio sistema operativo y, por lo tanto, pueden interceptar o subvertir las operaciones más confiables del sistema operativo. Cualquier software, como el software antivirus , que se ejecute en el sistema comprometido es igualmente vulnerable. [ 41 ] En esta situación, no se puede confiar en ninguna parte del sistema.
Un rootkit puede modificar estructuras de datos en el kernel de Windows mediante un método conocido como manipulación directa de objetos del kernel (DKOM). [ 42 ] Este método puede utilizarse para ocultar procesos. Un rootkit en modo kernel también puede interceptar la tabla de descriptores de servicios del sistema (SSDT) o modificar las puertas entre el modo usuario y el modo kernel para ocultarse. [ 4 ] De forma similar, en el sistema operativo Linux , un rootkit puede modificar la tabla de llamadas al sistema para subvertir la funcionalidad del kernel. [ 43 ] [ 44 ] Es común que un rootkit cree un sistema de archivos oculto y cifrado en el que puede ocultar otro malware o copias originales de los archivos que ha infectado. [ 45 ] Los sistemas operativos están evolucionando para contrarrestar la amenaza de los rootkits en modo kernel. Por ejemplo, las ediciones de 64 bits de Microsoft Windows ahora implementan la firma obligatoria de todos los controladores a nivel de kernel para dificultar la ejecución de código no confiable con los privilegios más altos en un sistema. [ 46 ]
Kits de arranque
Una variante de rootkit en modo kernel llamada bootkit puede infectar el código de inicio como el Master Boot Record (MBR), Volume Boot Record (VBR) o sector de arranque , y de esta manera puede usarse para atacar sistemas de cifrado de disco completo . [ 47 ] Un ejemplo de tal ataque al cifrado de disco es el " ataque de la criada malvada ", en el que un atacante instala un bootkit en una computadora desatendida. El escenario imaginado es una criada que se cuela en la habitación del hotel donde las víctimas dejaron su hardware. [ 48 ] El bootkit reemplaza el cargador de arranque legítimo con uno bajo su control. Normalmente, el cargador de malware persiste durante la transición al modo protegido cuando el kernel se ha cargado, y por lo tanto es capaz de subvertir el kernel. [ 49 ] [ 50 ] [ 51 ] Por ejemplo, el "Stoned Bootkit" subvierte el sistema usando un cargador de arranque comprometido para interceptar claves de cifrado y contraseñas. [ 52 ] En 2010, el rootkit Alureon logró subvertir el requisito de firma de controlador en modo kernel de 64 bits en Windows 7 , modificando el registro de arranque maestro . [ 53 ] Aunque no es malware en el sentido de hacer algo que el usuario no desea, cierto software "Vista Loader" o "Windows Loader" funciona de manera similar inyectando una tabla ACPI SLIC (System Licensed Internal Code) en la versión de la BIOS almacenada en caché en RAM durante el arranque, para eludir el proceso de activación de Windows Vista y Windows 7. Este vector de ataque se volvió inútil en las versiones (no de servidor) de Windows 8 , que usan una clave única y específica de la máquina para cada sistema, que solo puede ser utilizada por esa máquina. [ 54 ] Muchas compañías de antivirus proporcionan utilidades y programas gratuitos para eliminar bootkits.
Nivel de hipervisor
Los rootkits se han creado como hipervisores de tipo II en el ámbito académico como pruebas de concepto. Al explotar características de virtualización de hardware como Intel VT o AMD-V , este tipo de rootkit se ejecuta en Ring -1 y aloja el sistema operativo objetivo como una máquina virtual , lo que permite al rootkit interceptar las llamadas de hardware realizadas por el sistema operativo original. [ 6 ] A diferencia de los hipervisores normales, no tienen que cargarse antes que el sistema operativo, sino que pueden cargarse en un sistema operativo antes de promoverlo a una máquina virtual. [ 6 ] Un rootkit de hipervisor no tiene que hacer ninguna modificación al kernel del objetivo para subvertirlo; sin embargo, eso no significa que no pueda ser detectado por el sistema operativo invitado. Por ejemplo, las diferencias de tiempo pueden ser detectables en las instrucciones de la CPU . [ 6 ] El rootkit de laboratorio "SubVirt", desarrollado conjuntamente por Microsoft e investigadores de la Universidad de Michigan , es un ejemplo académico de un rootkit basado en máquina virtual (VMBR), [ 55 ] mientras que el software Blue Pill es otro. En 2009, investigadores de Microsoft y la Universidad Estatal de Carolina del Norte demostraron un anti-rootkit de capa de hipervisor llamado Hooksafe , que proporciona protección genérica contra rootkits en modo kernel. [ 56 ] Windows 10 introdujo una nueva función llamada "Device Guard", que aprovecha la virtualización para proporcionar protección externa independiente de un sistema operativo contra malware de tipo rootkit. [ 57 ]
Firmware y hardware
Un rootkit de firmware utiliza el firmware del dispositivo o plataforma para crear una imagen de malware persistente en el hardware, como un enrutador , tarjeta de red , [ 58 ] disco duro o la BIOS del sistema . [ 36 ] [ 59 ] El rootkit se oculta en el firmware, porque el firmware no suele inspeccionarse para comprobar la integridad del código . John Heasman demostró la viabilidad de los rootkits de firmware tanto en rutinas de firmware ACPI [ 60 ] como en la ROM de una tarjeta de expansión PCI . [ 61 ] En octubre de 2008, los delincuentes manipularon máquinas lectoras de tarjetas de crédito europeas antes de su instalación. Los dispositivos interceptaron y transmitieron los datos de las tarjetas de crédito a través de una red de telefonía móvil. [ 62 ] En marzo de 2009, los investigadores Alfredo Ortega y Aníbal Sacco publicaron detalles de un rootkit de Windows a nivel de BIOS que pudo sobrevivir al reemplazo del disco y a la reinstalación del sistema operativo. [ 63 ] [ 64 ] [ 65 ] Unos meses después, descubrieron que algunos portátiles se venden con un rootkit legítimo, conocido como Absolute CompuTrace o Absolute LoJack para portátiles , preinstalado en muchas imágenes de BIOS. Se trata de un sistema de tecnología antirrobo que , según demostraron los investigadores, puede utilizarse con fines maliciosos. [ 33 ]
La tecnología Intel Active Management , parte de Intel vPro , implementa la administración fuera de banda , lo que permite a los administradores administrar , gestionar y controlar de forma remota los PC sin la intervención del procesador host ni la BIOS, incluso cuando el sistema está apagado. La administración remota incluye encendido y apagado remoto, reinicio remoto, arranque redirigido, redirección de consola, acceso previo al arranque a la configuración de la BIOS, filtrado programable para el tráfico de red entrante y saliente, comprobación de presencia de agentes, alertas fuera de banda basadas en políticas, acceso a información del sistema, como información de activos de hardware, registros de eventos persistentes y otra información que se almacena en memoria dedicada (no en el disco duro) donde es accesible incluso si el sistema operativo está inactivo o el PC está apagado. Algunas de estas funciones requieren el nivel más profundo de rootkit, un segundo ordenador espía no extraíble construido alrededor del ordenador principal. Los chipsets Sandy Bridge y futuros tienen "la capacidad de eliminar y restaurar de forma remota un PC perdido o robado a través de 3G". Los rootkits de hardware integrados en el chipset pueden ayudar a recuperar ordenadores robados, eliminar datos o inutilizarlos, pero también plantean problemas de privacidad y seguridad debido al espionaje indetectable y la redirección por parte de la dirección o de piratas informáticos que podrían hacerse con el control.
Instalación y camuflaje
Los rootkits emplean diversas técnicas para obtener el control de un sistema; el tipo de rootkit influye en la elección del vector de ataque. La técnica más común aprovecha las vulnerabilidades de seguridad para lograr una escalada de privilegios subrepticia . Otro enfoque es usar un caballo de Troya , engañando al usuario para que confíe en el programa de instalación del rootkit como benigno ; en este caso, la ingeniería social convence al usuario de que el rootkit es beneficioso. [ 38 ] La tarea de instalación se facilita si no se aplica el principio del mínimo privilegio , ya que el rootkit no tiene que solicitar explícitamente privilegios elevados (de administrador). Otras clases de rootkits solo pueden ser instaladas por alguien con acceso físico al sistema objetivo. Algunos rootkits también pueden ser instalados intencionalmente por el propietario del sistema o alguien autorizado por él, por ejemplo, con el propósito de monitorear a los empleados , lo que hace innecesarias tales técnicas subversivas. [ 66 ] Algunas instalaciones de rootkits maliciosos tienen un propósito comercial, con un método de compensación de pago por instalación (PPI) típico para la distribución. [ 67 ] [ 68 ]
Una vez instalado, un rootkit toma medidas activas para ocultar su presencia dentro del sistema anfitrión mediante la subversión o evasión de las herramientas de seguridad estándar del sistema operativo y las interfaces de programación de aplicaciones (API) utilizadas para el diagnóstico, escaneo y monitoreo. [ 69 ] Los rootkits logran esto modificando el comportamiento de partes centrales de un sistema operativo mediante la carga de código en otros procesos, la instalación o modificación de controladores o módulos del kernel . Las técnicas de ofuscación incluyen ocultar los procesos en ejecución de los mecanismos de monitoreo del sistema y ocultar archivos del sistema y otros datos de configuración. [ 70 ] No es raro que un rootkit desactive la capacidad de registro de eventos de un sistema operativo, en un intento de ocultar evidencia de un ataque. Los rootkits pueden, en teoría, subvertir cualquier actividad del sistema operativo. [ 71 ] El "rootkit perfecto" puede pensarse como similar a un " crimen perfecto ": uno que nadie se da cuenta de que ha ocurrido. Los rootkits también adoptan diversas medidas para garantizar su supervivencia frente a la detección y la "limpieza" por parte del software antivirus, además de instalarse habitualmente en el Anillo 0 (modo kernel), donde tienen acceso completo al sistema. Estas medidas incluyen el polimorfismo (cambiar para que su "firma" sea difícil de detectar), técnicas de sigilo, regeneración, desactivación o desactivación del software antimalware [ 72 ] y no instalarse en máquinas virtuales , donde puede ser más fácil para los investigadores descubrirlos y analizarlos.
Detección
El problema fundamental con la detección de rootkits es que si el sistema operativo ha sido subvertido, particularmente por un rootkit a nivel del kernel, no se puede confiar en que encuentre modificaciones no autorizadas en sí mismo o en sus componentes. [ 71 ] No se puede confiar en que acciones como solicitar una lista de procesos en ejecución o una lista de archivos en un directorio se comporten como se espera. En otras palabras, los detectores de rootkits que funcionan mientras se ejecutan en sistemas infectados solo son efectivos contra rootkits que tienen algún defecto en su camuflaje o que se ejecutan con privilegios de modo de usuario inferiores a los del software de detección en el kernel. [ 38 ] Al igual que con los virus informáticos , la detección y eliminación de rootkits es una lucha constante entre ambas partes de este conflicto. [ 71 ] La detección puede adoptar varios enfoques diferentes, incluyendo la búsqueda de "firmas" de virus (por ejemplo, software antivirus), verificación de integridad (por ejemplo, firmas digitales ), detección basada en diferencias (comparación de resultados esperados frente a resultados reales) y detección de comportamiento (por ejemplo, monitoreo del uso de la CPU o tráfico de red).
Para los rootkits en modo kernel, la detección es considerablemente más compleja, requiriendo un examen minucioso de la tabla de llamadas al sistema para buscar funciones interceptadas donde el malware pueda estar subvirtiendo el comportamiento del sistema, [ 73 ] así como un escaneo forense de la memoria para patrones que indiquen procesos ocultos. Las ofertas de detección de rootkits de Unix incluyen Zeppoo, [ 74 ] chkrootkit , rkhunter y OSSEC . Para Windows, las herramientas de detección incluyen Microsoft Sysinternals RootkitRevealer , [ 75 ] Avast Antivirus , [ 76 ] Sophos Anti-Rootkit, [ 77 ] F-Secure , [ 78 ] Radix, [ 79 ] GMER , [ 80 ] y WindowsSCOPE . Cualquier detector de rootkits que demuestre ser efectivo termina contribuyendo a su propia ineficacia, ya que los autores de malware adaptan y prueban su código para escapar a la detección de las herramientas más utilizadas. [ Notas 1 ] La detección mediante el examen del almacenamiento mientras el sistema operativo sospechoso no está operativo puede pasar por alto los rootkits no reconocidos por el software de verificación, ya que el rootkit no está activo y el comportamiento sospechoso se suprime; el software antimalware convencional que se ejecuta con el rootkit operativo puede fallar si el rootkit se oculta eficazmente.
Medio alternativo de confianza
El mejor y más fiable método para detectar rootkits a nivel del sistema operativo consiste en apagar el ordenador sospechoso de infección y, a continuación, comprobar su almacenamiento arrancando desde un medio alternativo de confianza (por ejemplo, un CD-ROM de rescate o una unidad flash USB ). [ 81 ] Esta técnica es eficaz porque un rootkit no puede ocultar activamente su presencia si no está en ejecución.
Basado en el comportamiento
El enfoque basado en el comportamiento para detectar rootkits intenta inferir la presencia de un rootkit buscando comportamientos similares a los de un rootkit. Por ejemplo, al perfilar un sistema, las diferencias en el tiempo y la frecuencia de las llamadas a la API o en la utilización general de la CPU pueden atribuirse a un rootkit. El método es complejo y se ve obstaculizado por una alta incidencia de falsos positivos . Los rootkits defectuosos a veces pueden introducir cambios muy obvios en un sistema: el rootkit Alureon bloqueó los sistemas Windows después de que una actualización de seguridad expusiera un fallo de diseño en su código. [ 82 ] [ 83 ] Los registros de un analizador de paquetes , firewall o sistema de prevención de intrusiones pueden presentar evidencia del comportamiento de un rootkit en un entorno de red. [ 35 ]
Basado en firmas
Los productos antivirus rara vez detectan todos los virus en pruebas públicas (dependiendo de lo que se utilice y en qué medida), aunque los proveedores de software de seguridad incorporen la detección de rootkits en sus productos. Si un rootkit intenta ocultarse durante un análisis antivirus, un detector de sigilo puede detectarlo; si el rootkit intenta eliminarse temporalmente del sistema, la detección de firmas (o "huella digital") aún puede encontrarlo. [ 84 ] Este enfoque combinado obliga a los atacantes a implementar mecanismos de contraataque, o rutinas "retro", que intentan finalizar los programas antivirus. Los métodos de detección basados en firmas pueden ser efectivos contra rootkits muy conocidos, pero menos efectivos contra rootkits personalizados especialmente diseñados. [ 71 ]
Basado en diferencias
Otro método que puede detectar rootkits compara datos sin procesar "de confianza" con contenido "contaminado" devuelto por una API . Por ejemplo, los binarios presentes en el disco se pueden comparar con sus copias en la memoria del sistema operativo (en algunos sistemas operativos, la imagen en memoria debe ser idéntica a la imagen en disco), o los resultados devueltos por las API del sistema de archivos o del Registro de Windows se pueden verificar con las estructuras sin procesar en los discos físicos subyacentes [ 71 ] [ 85 ]; sin embargo, en el caso del primero, algunos mecanismos del sistema operativo, como la reubicación de memoria o el shimming , pueden introducir diferencias válidas . Un rootkit puede detectar la presencia de un escáner basado en diferencias o una máquina virtual (esta última se usa comúnmente para realizar análisis forenses) y ajustar su comportamiento para que no se puedan detectar diferencias. La herramienta RootkitRevealer de Russinovich utilizó la detección basada en diferencias para encontrar el rootkit Sony DRM. [ 1 ]
Verificación de integridad

La firma de código utiliza una infraestructura de clave pública para comprobar si un archivo ha sido modificado desde que fue firmado digitalmente por su editor. Alternativamente, el propietario o administrador del sistema puede utilizar una función hash criptográfica para calcular una "huella digital" en el momento de la instalación, lo que puede ayudar a detectar cambios no autorizados posteriores en las bibliotecas de código en disco. [ 86 ] Sin embargo, los esquemas poco sofisticados solo comprueban si el código ha sido modificado desde el momento de la instalación; la subversión anterior a ese momento no es detectable. La huella digital debe restablecerse cada vez que se realizan cambios en el sistema: por ejemplo, después de instalar actualizaciones de seguridad o un paquete de servicio . La función hash crea un resumen del mensaje , un código relativamente corto calculado a partir de cada bit en el archivo utilizando un algoritmo que crea grandes cambios en el resumen del mensaje con cambios aún más pequeños en el archivo original. Al recalcular y comparar el resumen del mensaje de los archivos instalados a intervalos regulares con una lista confiable de resúmenes de mensajes, se pueden detectar y monitorear los cambios en el sistema, siempre que la línea base original se haya creado antes de que se agregara el malware.
Los rootkits más sofisticados pueden subvertir el proceso de verificación presentando una copia sin modificar del archivo para su inspección, o realizando modificaciones de código únicamente en la memoria, registros de reconfiguración, que posteriormente se comparan con una lista blanca de valores esperados. [ 87 ] El código que realiza operaciones de hash, comparación o extensión también debe estar protegido; en este contexto, la noción de una raíz de confianza inmutable sostiene que el primer código que mide las propiedades de seguridad de un sistema debe ser confiable para garantizar que un rootkit o bootkit no comprometa el sistema en su nivel más fundamental. [ 88 ]
volcados de memoria
Forzar un volcado completo de la memoria virtual capturará un rootkit activo (o un volcado del kernel en el caso de un rootkit en modo kernel), lo que permite realizar un análisis forense fuera de línea con un depurador sobre el archivo de volcado resultante , sin que el rootkit pueda tomar ninguna medida para ocultarse. Esta técnica es altamente especializada y puede requerir acceso a código fuente no público o símbolos de depuración . Los volcados de memoria iniciados por el sistema operativo no siempre se pueden usar para detectar un rootkit basado en hipervisor, que es capaz de interceptar y subvertir los intentos de nivel más bajo de leer la memoria [ 6 ] —un dispositivo de hardware, como uno que implementa una interrupción no enmascarable , puede requerirse para volcar la memoria en este escenario. [ 89 ] [ 90 ] Las máquinas virtuales también hacen más fácil analizar la memoria de una máquina comprometida desde el hipervisor subyacente, por lo que algunos rootkits evitarán infectar máquinas virtuales por esta razón.
Eliminación
La eliminación manual de un rootkit suele ser extremadamente difícil para un usuario informático típico, [ 36 ] pero varios proveedores de software de seguridad ofrecen herramientas para detectar y eliminar automáticamente algunos rootkits, normalmente como parte de un paquete antivirus . A partir de 2005La herramienta mensual de Microsoft para eliminar software malintencionado de Windows puede detectar y eliminar algunas clases de rootkits. [ 91 ] [ 92 ] Además, Windows Defender Offline puede eliminar rootkits, ya que se ejecuta desde un entorno de confianza antes de que se inicie el sistema operativo. [ 93 ] Algunos escáneres antivirus pueden eludir las API del sistema de archivos , que son vulnerables a la manipulación por parte de un rootkit. En su lugar, acceden directamente a las estructuras del sistema de archivos sin procesar y utilizan esta información para validar los resultados de las API del sistema para identificar cualquier diferencia que pueda ser causada por un rootkit. [ Notas 2 ] [ 94 ] [ 95 ] [ 96 ] [ 97 ] Hay expertos que creen que la única forma fiable de eliminarlos es reinstalar el sistema operativo desde un medio de confianza. [ 98 ] [ 99 ] Esto se debe a que las herramientas antivirus y de eliminación de malware que se ejecutan en un sistema no confiable pueden ser ineficaces contra los rootkits de modo kernel bien escritos. El arranque de un sistema operativo alternativo desde un medio de confianza permite montar un volumen del sistema infectado y limpiarlo de forma segura, así como copiar datos críticos; o bien, realizar un análisis forense. [ 35 ] Para ello, se pueden utilizar sistemas operativos ligeros como Windows PE , Windows Recovery Console , Windows Recovery Environment , BartPE o Live Distros , lo que permite "limpiar" el sistema. Incluso si se conoce el tipo y la naturaleza de un rootkit, la reparación manual puede resultar poco práctica, mientras que reinstalar el sistema operativo y las aplicaciones es más seguro, sencillo y rápido. [ 98 ]
Defensas
El endurecimiento del sistema representa una de las primeras capas de defensa contra un rootkit, para evitar que pueda instalarse en primer lugar. [ 100 ] Aplicar parches de seguridad , implementar el principio de mínimo privilegio , reducir la superficie de ataque e instalar software antivirus son algunas de las mejores prácticas de seguridad estándar que son efectivas contra todas las clases de malware. [ 101 ] Las nuevas especificaciones de arranque seguro como UEFI se han diseñado para abordar la amenaza de los bootkits, pero incluso estas son vulnerables si no se utilizan las características de seguridad que ofrecen. [ 59 ] Para los sistemas de servidor, la atestación remota del servidor mediante tecnologías como Intel Trusted Execution Technology (TXT) proporciona una forma de verificar que los servidores permanecen en un estado bueno conocido. Por ejemplo, el cifrado de datos en reposo de Microsoft Bitlocker verifica que los servidores están en un "estado bueno" conocido al arrancar. PrivateCore vCage es una oferta de software que protege los datos en uso (memoria) para evitar bootkits y rootkits al verificar que los servidores están en un estado "bueno" conocido al arrancar. La implementación de PrivateCore funciona en conjunto con Intel TXT y bloquea las interfaces del sistema del servidor para evitar posibles bootkits y rootkits.
Otro mecanismo de defensa, denominado Muro Virtual (VTW), funciona como un hipervisor ligero con capacidades de detección de rootkits y rastreo de eventos. En funcionamiento normal (modo invitado), Linux se ejecuta y, cuando un LKM cargado infringe las políticas de seguridad, el sistema cambia al modo anfitrión. En este modo, el VTW detecta, rastrea y clasifica los eventos de rootkits basándose en mecanismos de control de acceso a la memoria e inyección de eventos. Los resultados experimentales demuestran la eficacia del VTW en la detección y defensa oportunas contra rootkits del kernel con una sobrecarga mínima de CPU (menos del 2 %). El VTW se compara favorablemente con otros esquemas de defensa, destacando su simplicidad de implementación y las posibles mejoras de rendimiento en servidores Linux. [ 102 ]
Véase también
- conferencia sobre seguridad informática
- Sistema de detección de intrusiones basado en el host
- Ataque de intermediario
- El arsenal de rootkits: escape y evasión en los rincones oscuros del sistema.
Notas
- ↑ El nombre del proceso de Sysinternals RootkitRevealer fue objetivo de malware; en un intento por contrarrestar esta medida, la herramienta ahora utiliza un nombre de proceso generado aleatoriamente.
- ↑ En teoría, un rootkit a nivel de kernel suficientemente sofisticado también podría subvertir las operaciones de lectura contra las estructuras de datos sin procesar del sistema de archivos, de modo que coincidan con los resultados devueltos por las API.
Referencias
- 1 2 3 4 5 6 7 8 "Rootkits, Parte 1 de 3: La creciente amenaza" (PDF) . McAfee . 17 de abril de 2006. Archivado del original (PDF) el 23 de agosto de 2006.
- ↑ Evancich, N.; Li, J. (23 de agosto de 2016). "6.2.3 Rootkits" . En Colbert, Edward JM; Kott, Alexander (eds.). Ciberseguridad de SCADA y otros sistemas de control industrial . Springer. pág. 100. ISBN 9783319321257– vía Google Libros .
- ↑ "¿Qué es un rootkit? – Definición y explicación" . www.kaspersky.com . 9 de abril de 2021. Consultado el 13 de noviembre de 2021 .
- 1 2 3 4 "Descripción general del rootkit de Windows" (PDF) . Symantec . 26 de marzo de 2006. Archivado del original (PDF) el 14 de diciembre de 2010. Consultado el 17 de agosto de 2010 .
- ↑ Sparks, Sherri; Butler, Jamie (2005-08-01). "Raising The Bar For Windows Rootkit Detection". Phrack . 0xb (x3d).
- 1 2 3 4 5 Myers, Michael; Youndt, Stephen (2007-08-07). Una introducción a los rootkits de máquinas virtuales asistidas por hardware (HVM) (Informe). Crucial Security. CiteSeerX 10.1.1.90.8832 .
- ↑ Andrew Hay; Daniel Cid; Rory Bray (2008). Guía de detección de intrusiones basada en el host de OSSEC . Syngress. pág. 276. ISBN 978-1-59749-240-9– vía Google Libros .
- ↑ Thompson, Ken (agosto de 1984). "Reflexiones sobre la confianza en la confianza" (PDF) . Communications of the ACM . 27 (8): 761. doi : 10.1145/358198.358210 . Archivado (PDF) del original el 24 de septiembre de 2007. Recuperado el 9 de junio de 2010 .
- 1 2 Greg Hoglund; James Butler (2006). Rootkits: Subverting the Windows kernel . Addison-Wesley. pág. 4. ISBN 978-0-321-29431-9– vía Google Libros .
- ↑ Ferrie, Peter (1 de julio de 2005). "¿Obtuviste acceso de root [ a Mac ] ?" (PDF) . Virus Bulletin . Archivado (PDF) del original el 28 de mayo de 2022. Recuperado el 3 de octubre de 2025 .
- ↑ "Stuxnet presenta el primer rootkit conocido para sistemas de control industrial" . Symantec . 6 de agosto de 2010. Archivado del original el 20 de agosto de 2010. Consultado el 4 de diciembre de 2010 .
- ↑ "DESCUBIERTO: Lenovo instala software basura imposible de eliminar en portátiles Windows, ocultándolo en la BIOS" . Archivado del original el 6 de septiembre de 2025. Consultado el 26 de octubre de 2025 .
- ↑ Hern, Alex (14 de agosto de 2015). "Lenovo lo vuelve a hacer: se retira un componente de la LSE tras preocupaciones de seguridad" . The Guardian . ISSN 0261-3077 . Consultado el 26 de octubre de 2025 .
- ↑ "El gusano Stuxnet 'atacó activos iraníes de alto valor'"BBC News . 23 de septiembre de 2010.
- ↑ Kim Zetter (17 de febrero de 2011). "Es probable que los problemas de la ciberguerra solo se aborden después de una catástrofe" . Wired . Archivado del original el 18 de febrero de 2011. Recuperado el 18 de febrero de 2011 .
- ↑ Halliday, Josh (24 de septiembre de 2010). "El gusano Stuxnet es 'obra de una agencia gubernamental nacional'"." . The Guardian .
- ↑ Markoff, John (27 de septiembre de 2010). "Un ataque silencioso, pero no sutil" . The New York Times .
- ↑ "¿Es Stuxnet el 'mejor' malware de la historia?" . Computerworld . Consultado el 26 de octubre de 2025 .
- ↑ "La verdadera historia de Stuxnet - IEEE Spectrum" . spectrum.ieee.org . Consultado el 26 de octubre de 2025 .
- ↑ Weinberger, Sharon (1 de junio de 2011). «Seguridad informática: ¿Es este el comienzo de la ciberguerra?» . Nature . 474 (7350): 142– 145. doi : 10.1038/474142a . ISSN 1476-4687 . PMID 21654779 .
- ↑ "Detalles de software espía: XCP.Sony.Rootkit" . Computer Associates . 5 de noviembre de 2005. Archivado del original el 18 de agosto de 2010. Consultado el 19 de agosto de 2010 .
- ↑ Russinovich, Mark (31 de octubre de 2005). "Sony, los rootkits y la gestión de derechos digitales han llegado demasiado lejos" . Blogs de TechNet . Microsoft . Archivado del original el 1 de enero de 2016. Consultado el 16 de agosto de 2010 .
- ↑ "Los problemas a largo plazo de Sony con el rootkit en CD" . BBC News . 21 de noviembre de 2005. Archivado del original el 20 de febrero de 2026. Consultado el 20 de febrero de 2026 .
- ↑ Felton, Ed (15 de noviembre de 2005). "El desinstalador web de Sony abre una gran brecha de seguridad; Sony retirará los discos" .
- ↑ Knight, Will (11 de noviembre de 2005). "Sony BMG demandada por software de ocultación en CD de música" . New Scientist . Archivado del original el 15 de enero de 2011. Consultado el 21 de noviembre de 2010 .
- ^ Kyriakidou, Dina (2 de marzo de 2006). "El escándalo del "Watergate griego" provoca conmoción política . Reuters . Consultado el 24 de noviembre de 2007 .
- 1 2 Vassilis Prevelakis; Diomidis Spinellis (julio de 2007). "El caso de Atenas" . Archivado del original el 1 de agosto de 2009.
- ↑ Russinovich, Mark (junio de 2005). "Descubriendo Root Kits" . Windows IT Pro . Archivado del original el 3 de noviembre de 2005. Consultado el 21 de febrero de 2026 .
- ↑ Marks, Joseph (1 de julio de 2021). "Ciberseguridad 202: El futuro del Departamento de Justicia está en desarticular a los hackers, no solo en acusarlos" . The Washington Post . Archivado del original el 7 de febrero de 2022. Recuperado el 24 de julio de 2021 .
- ↑ Steve Hanna (septiembre de 2007). "Uso de la tecnología rootkit para la detección de malware basada en honeypots" (PDF) . Reunión de CCEID.
- ↑ Russinovich, Mark (6 de febrero de 2006). "Uso de rootkits para eludir la gestión de derechos digitales" . Winternals . SysInternals. Archivado del original el 14 de agosto de 2006. Recuperado el 13 de agosto de 2006 .
- ↑ "Symantec lanza una actualización para su propio rootkit" . HWM (marzo): 89. 2006 – vía Google Books .
- 1 2 Ortega, Alfredo; Sacco, Anibal (24-07-2009). Desactivar el rootkit: Ataques a las tecnologías antirrobo de BIOS (PDF) . Black Hat USA 2009 (PDF). Boston, MA: Core Security Technologies. Archivado (PDF) del original el 16-10-2014 . Recuperado el 12-06-2014 .
- ↑ Kleissner, Peter (2 de septiembre de 2009). "Stoned Bootkit: El auge de los rootkits y bootkits MBR en la naturaleza" (PDF) . Archivado del original (PDF) el 16 de julio de 2011. Consultado el 23 de noviembre de 2010 .
- 1 2 3 Anson, Steve; Bunting, Steve (2007). Dominando el análisis forense y la investigación de redes Windows . John Wiley and Sons. págs. 73–74 . ISBN 978-0-470-09762-5.
- 1 2 3 4 "Rootkits Parte 2: Una introducción técnica" (PDF) . McAfee . 3 de abril de 2007. Archivado del original (PDF) el 5 de diciembre de 2008. Consultado el 17 de agosto de 2010 .
- ↑ Kdm. "NTIllusion: Un rootkit portátil para el espacio de usuario de Win32" . Phrack . 62 (12). Archivado del original el 20 de febrero de 2026. Recuperado el 21 de febrero de 2026 .
- 1 2 3 4 "Comprensión de las tecnologías antimalware" (PDF) . Microsoft . 21 de febrero de 2007. Archivado del original (PDF) el 11 de septiembre de 2010. Consultado el 17 de agosto de 2010 .
- ↑ Hoglund, Greg (1999-09-09). "Un rootkit *REAL* para NT, parcheando el kernel de NT" . Phrack . 9 (55). Archivado del original el 2026-02-20 . Recuperado el 2026-02-21 .
- ^ Chuvakin, Antón (2 de febrero de 2003). Una descripción general de los rootkits de Unix (PDF) (Reporte). Chantilly, Virginia: iDEFENSA. Archivado desde el original (PDF) el 25 de julio de 2011 . Consultado el 21 de noviembre de 2010 .
- ↑ Butler, James; Sparks, Sherri (16 de noviembre de 2005). "Windows Rootkits de 2005, segunda parte" . Symantec Connect . Symantec . Consultado el 13 de noviembre de 2010 .
- ↑ Butler, James; Sparks, Sherri (3 de noviembre de 2005). "Windows Rootkits de 2005, primera parte" . Symantec Connect . Symantec. Archivado del original el 21 de enero de 2021. Consultado el 12 de noviembre de 2010 .
- ↑ Burdach, Mariusz (17 de noviembre de 2004). "Detección de rootkits y vulnerabilidades a nivel de kernel en Linux" . Symantec . Archivado del original el 10 de agosto de 2020. Consultado el 23 de noviembre de 2010 .
- ↑ Osborne, Charlie (17 de septiembre de 2019). "El malware Skidmap se oculta en el núcleo para esconder la minería ilícita de criptomonedas" . ZDNet . Archivado del original el 25 de julio de 2021. Consultado el 24 de julio de 2021 .
- ↑ Marco Giuliani (11 de abril de 2011). "ZeroAccess: un rootkit avanzado en modo kernel" (PDF) . Webroot Software . Archivado (PDF) del original el 25 de agosto de 2011. Recuperado el 10 de agosto de 2011 .
- ↑ "Requisitos de firma de controladores para Windows" . Microsoft . 6 de enero de 2017. Archivado del original el 20 de febrero de 2026. Consultado el 20 de febrero de 2026 .
- ↑ Salter, Jim (31 de julio de 2020). "Los sistemas Red Hat y CentOS no arrancan debido a parches BootHole" . Ars Technica . Consultado el 24 de julio de 2021 .
- ↑ Schneier, Bruce (23-10-2009) .Ataques de "Sirvienta Malvada" a discos duros encriptados . Archivado del original el 20 de febrero de 2026. Consultado el 20 de febrero de 2026 .
- ↑ Soeder, Derek; Permeh, Ryan (09-05-2007). "Bootroot" . eEye Digital Security. Archivado del original el 17-08-2013 . Recuperado el 23-11-2010 .
- ↑ Kumar, Nitin; Kumar, Vipin (2007). Vbootkit: Comprometiendo la seguridad de Windows Vista (PDF) . Black Hat Europe 2007 .
- ↑ "BOOT KIT: Subversión de Windows 2000/XP/2003 basada en sector de arranque personalizado" . NVlabs . 4 de febrero de 2007. Archivado del original el 10 de junio de 2010. Consultado el 21 de noviembre de 2010 .
- ↑ Kleissner, Peter (16 de marzo de 2013). "Stoned Bootkit" . Peter Kleissner. Archivado del original el 9 de diciembre de 2014. Consultado el 20 de febrero de 2026 .
- ↑ Goodin, Dan (16 de noviembre de 2010). "El rootkit más avanzado del mundo penetra en Windows de 64 bits" . The Register . Archivado del original el 21 de noviembre de 2010. Consultado el 22 de noviembre de 2010 .
- ↑ Francisco, Neil McAllister en San. "Microsoft endurece el control sobre las licencias OEM de Windows 8" . www.theregister.com . Archivado del original el 8 de octubre de 2021. Consultado el 8 de octubre de 2021 .
- ↑ King, Samuel T.; Chen, Peter M.; Wang, Yi-Min; Verbowski, Chad; Wang, Helen J.; Lorch, Jacob R. (3 de abril de 2006). "SubVirt: Implementación de malware con máquinas virtuales" (PDF) . Simposio IEEE de 2006 sobre Seguridad y Privacidad (S&P'06) . Instituto de Ingenieros Eléctricos y Electrónicos . pp. 14-327. doi : 10.1109/SP.2006.38 . ISBN 0-7695-2574-1. S2CID 1349303 . Archivado (PDF) del original el 07-12-2008 . Recuperado el 15-09-2008 .
- ↑ Wang, Zhi; Jiang, Xuxian; Cui, Weidong; Ning, Peng (11 de agosto de 2009). "Contrarrestando los rootkits del kernel con protección ligera de ganchos" (PDF) . En Al-Shaer, Ehab (Presidente general) (ed.). Actas de la 16.ª Conferencia ACM sobre seguridad informática y de comunicaciones . CCS 2009: 16.ª Conferencia ACM sobre seguridad informática y de comunicaciones . Jha, Somesh; Keromytis, Angelos D. (Presidentes del programa). Nueva York: ACM New York. doi : 10.1145/1653662.1653728 . ISBN 978-1-60558-894-0. Archivado (PDF) del original el 29-12-2009 . Recuperado el 11-11-2009 .
- ↑ "Device Guard es la combinación del Control de aplicaciones de Windows Defender y la protección de la integridad del código basada en virtualización (Windows 10)" . 11 de julio de 2023.
- ↑ Delugré, Guillaume (21-11-2010). Reversing the Broacom NetExtreme's Firmware (PDF) . hack.lu. Sogeti. Archivado del original (PDF) el 25-04-2012 . Recuperado el 25-11-2010 .
- 1 2 "Equipo de hackers utiliza rootkit de BIOS UEFI para mantener el agente RCS 9 en los sistemas objetivo - Blog de inteligencia de seguridad de TrendLabs" . 13 de julio de 2015. Archivado del original el 23 de julio de 2015. Consultado el 15 de julio de 2015 .
- ↑ Heasman, John (25 de enero de 2006). Implementación y detección de un rootkit de BIOS ACPI (PDF) . Black Hat Federal 2006. NGS Consulting. Archivado (PDF) del original el 27 de febrero de 2011. Recuperado el 21 de noviembre de 2010 .
- ↑ Heasman, John (15 de noviembre de 2006). "Implementación y detección de un rootkit PCI" (PDF) . Next Generation Security Software. CiteSeerX : 10.1.1.89.7305 . Recuperado el 13 de noviembre de 2010 .
- ↑ Modine, Austin (10 de octubre de 2008). "El crimen organizado manipula los dispositivos de lectura de tarjetas europeos: datos de clientes transmitidos al extranjero" . The Register . Situation Publishing. Archivado del original el 13 de octubre de 2008. Consultado el 13 de octubre de 2008 .
- ↑ Sacco, Anibal; Ortéga, Alfredo (2009). Infección persistente de BIOS (PDF) . CanSecWest 2009. Core Security Technologies. Archivado del original (PDF) el 8 de julio de 2011. Recuperado el 21 de noviembre de 2010 .
- ↑ Goodin, Dan (24 de marzo de 2009). "Los nuevos rootkits sobreviven al borrado de discos duros" . The Register . Situation Publishing . Consultado el 25 de marzo de 2009 .
- ↑ Sacco, Anibal; Ortéga, Alfredo (1 de junio de 2009). "Infección persistente de BIOS: El que madruga, Dios le ayuda" . Phrack . 66 (7). Archivado del original el 20 de febrero de 2026. Recuperado el 20 de febrero de 2026 .
- ↑ Ric Vieler (2007). Rootkits profesionales . John Wiley e hijos. pag. 244.ISBN 9780470149546.
- ↑ Matrosov, Aleksandr; Rodionov, Eugene (25 de junio de 2010). "TDL3: ¿El rootkit de todo mal?" (PDF) . Moscú: ESET . pág. 3. Archivado del original (PDF) el 13 de mayo de 2011. Recuperado el 17 de agosto de 2010 .
- ↑ Matrosov, Aleksandr; Rodionov, Eugene (27-06-2011). "La evolución de TDL: Conquistando x64" (PDF) . ESET . Archivado del original (PDF) el 29-07-2015 . Recuperado el 08-08-2011 .
- ↑ Gatlan, Sergiu (6 de mayo de 2021). "Nuevo rootkit Moriya utilizado en la práctica para crear puertas traseras en sistemas Windows" . Bleeping Computer . Consultado el 24 de julio de 2021 .
- ↑ Brumley, David (16 de noviembre de 1999), "Intrusos invisibles: rootkits en la práctica" (pdf) , Login , USENIX Association, págs. 27–29 , consultado el 27 de agosto de 2007.
- 1 2 3 4 5 Davis, Michael A.; Bodmer, Sean; LeMasters, Aaron (2009-09-03). "Capítulo 10: Detección de rootkits" (PDF) . Hacking Exposed Malware & Rootkits: Malware & rootkits security secrets & solutions . Nueva York: McGraw Hill Professional. ISBN 978-0-07-159118-8. Archivado del original (PDF) el 08-03-2012 . Consultado el 14-08-2010 .
- ↑ Trlokom (5 de julio de 2006). "Cómo derrotar a los rootkits y keyloggers" (PDF) . Trlokom. Archivado del original (PDF) el 17 de julio de 2011. Consultado el 17 de agosto de 2010 .
- ^ Dai Zovi, Dino (2011). "Rootkits del núcleo" . Archivado desde el original el 10 de septiembre de 2012 . Consultado el 13 de septiembre de 2012 .
- ↑ "Zeppoo" . SourceForge . 18 de julio de 2009. Consultado el 8 de agosto de 2011 .
- ↑ Cogswell, Bryce; Russinovich, Mark (1 de noviembre de 2006). "RootkitRevealer v1.71" . Microsoft . Archivado del original el 1 de julio de 2017. Recuperado el 13 de noviembre de 2010 .
- ↑ "Rootkit y anti-rootkit" . Consultado el 13 de septiembre de 2017 .
- ↑ "Sophos Anti-Rootkit" . Sophos . Archivado del original el 19/11/2012 . Consultado el 20/02/2026 .
- ↑ "BlackLight" . F-Secure . Archivado del original el 1 de enero de 2011. Consultado el 21 de febrero de 2026 .
- ↑ "Radix Anti-Rootkit" . usec.at. Archivado del original el 3 de julio de 2022. Consultado el 21 de febrero de 2026 .
- ↑ "GMER" . Archivado del original el 16 de febrero de 2026. Consultado el 21 de febrero de 2026 .
- ↑ Harriman, Josh (19 de octubre de 2007). "Una metodología de prueba para la efectividad de la eliminación de rootkits" (PDF) . Dublín, Irlanda: Symantec Security Response. Archivado del original (PDF) el 7 de octubre de 2009. Consultado el 17 de agosto de 2010 .
- ↑ Cuibotariu, Mircea (12 de febrero de 2010). "Tidserv y MS10-015" . Symantec . Consultado el 19 de agosto de 2010 .
- ↑ "Problemas de reinicio después de instalar MS10-015" . Microsoft . 11 de febrero de 2010. Consultado el 5 de octubre de 2010 .
- ↑ Steinberg, Joseph (9 de junio de 2021). "Lo que necesitas saber sobre los keyloggers" . bestantivirus.com . Archivado del original el 4 de junio de 2023. Consultado el 24 de julio de 2021 .
- ↑ "Detección de rootkits con Strider GhostBuster" . Microsoft Research. 28 de enero de 2010. Archivado del original el 7 de julio de 2016. Consultado el 21 de febrero de 2026 .
- ↑ "Firma y verificación de código con Authenticode" . Microsoft . Archivado del original el 29/12/2008 . Consultado el 15/09/2008 .
- ↑ "Deteniendo los rootkits en el borde de la red" (PDF) . Beaverton, Oregón: Trusted Computing Group . Enero de 2017. Consultado el 11 de julio de 2008 .
- ↑ "Especificación de implementación específica para PC de TCG, versión 1.1" (PDF) . Trusted Computing Group . 18 de agosto de 2003. Archivado (PDF) del original el 28 de septiembre de 2011. Consultado el 22 de noviembre de 2010 .
- ↑ "Cómo generar un archivo de volcado de memoria completo o un archivo de volcado de memoria del kernel mediante una NMI en un sistema basado en Windows" . Microsoft . Archivado del original el 24 de marzo de 2015. Consultado el 13 de noviembre de 2010 .
- ↑ Seshadri, Arvind; et al. (2005). «Pionero». Actas del vigésimo simposio de la ACM sobre principios de sistemas operativos . Universidad Carnegie Mellon . págs. 1–16 . doi : 10.1145/1095810.1095812 . ISBN 1595930795. S2CID 9960430 .
- ↑ Dillard, Kurt (3 de agosto de 2005). "Batalla de rootkits: Rootkit Revealer vs. Hacker Defender" . Archivado del original el 13 de febrero de 2014. Recuperado el 21 de febrero de 2026 .
- ↑ "La herramienta de eliminación de software malintencionado de Microsoft Windows ayuda a eliminar software malintencionado específico y común de equipos que ejecutan Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008 o Windows XP" . Microsoft . 14 de septiembre de 2010. Archivado del original el 30 de diciembre de 2016. Consultado el 16 de mayo de 2016 .
- ↑ Bettany, Andrew; Halsey, Mike (2017). Solución de problemas de virus y malware en Windows . Apress. pág. 17. ISBN 9781484226070– vía Google Libros .
- ↑ Hultquist, Steve (30 de abril de 2007). "Rootkits: ¿La próxima gran amenaza para las empresas?" . InfoWorld . Archivado del original el 26 de septiembre de 2015. Consultado el 21 de noviembre de 2010 .
- ↑ "Security Watch: Rootkits para divertirse y obtener ganancias" . Reseñas de CNET. 19 de enero de 2007. Archivado del original el 8 de octubre de 2012. Consultado el 7 de abril de 2009 .
- ↑ Bort, Julie (29 de septiembre de 2007). "Seis maneras de combatir las botnets" . PCWorld . San Francisco: PCWorld Communications. Archivado del original el 11 de octubre de 2012. Consultado el 7 de abril de 2009 .
- ↑ Hoang, Mimi (2 de noviembre de 2006). "Cómo afrontar las amenazas de seguridad más difíciles de hoy en día: los rootkits" . Symantec Connect . Symantec . Archivado del original el 26 de julio de 2021. Consultado el 21 de noviembre de 2010 .
- 1 2 Danseglio, Mike; Bailey, Tony (2005-10-06). "Rootkits: El oscuro ataque de los hackers" . Microsoft.
- ↑ Messmer, Ellen (26 de agosto de 2006). "Los expertos están divididos sobre la detección y eliminación de rootkits" . NetworkWorld.com . Framingham, Mass.: IDG. Archivado del original el 2 de noviembre de 2024. Consultado el 15 de agosto de 2010 .
- ↑ Skoudis, Ed; Zeltser, Lenny (2004). Malware: Fighting Malicious Code . Prentice Hall PTR. pág. 335. ISBN 978-0-13-101405-3.
- ↑ Hannel, Jeromey (23 de enero de 2003). "Linux RootKits para principiantes: de la prevención a la eliminación" . SANS Institute . Archivado del original (PDF) el 24 de octubre de 2010. Consultado el 22 de noviembre de 2010 .
- ↑ Li, Yong-Gang; Chung, Yeh-Ching; Hwang, Kai; Li, Yue-Jin (2021). "Muro virtual: filtrado de ataques de rootkits para proteger las funciones del kernel de Linux". IEEE Transactions on Computers . 70 (10): 1640– 1653. Bibcode : 2021ITCmp..70.1640L . doi : 10.1109/TC.2020.3022023 . S2CID 226480878 .
Lecturas adicionales
- Blunden, Bill (2009). El arsenal de los rootkits: escape y evasión en los rincones oscuros del sistema . Wordware. ISBN 978-1-59822-061-2.
- Hoglund, Greg; Butler, James (2005). Rootkits: Subverting the Windows Kernel . Addison-Wesley Professional. ISBN 978-0-321-29431-9.
- Grampp, FT; Morris, Robert H. Sr. (octubre de 1984). "El sistema UNIX: seguridad del sistema operativo UNIX". AT&T Bell Laboratories Technical Journal . 62 (8): 1649– 1672. Bibcode : 1984BSTJ...63.1649G . doi : 10.1002/j.1538-7305.1984.tb00058.x . S2CID 26877484 .
- Kong, José (2007). Diseño de rootkits BSD . Sin prensa de almidón. ISBN 978-1-59327-142-8.
- Veiler, Ric (2007). Rootkits profesionales . Wrox. ISBN 978-0-470-10154-4.
Enlaces externos
Contenido multimedia relacionado con los rootkits en Wikimedia Commons.
- Tipos de malware
- Rootkits
- Explotizaciones de escalada de privilegios
- ataques criptográficos
- guerra cibernética