Un rootkit es una colección de software informático , generalmente malicioso, diseñado para permitir el acceso a una computadora o un área de su software que de otra manera no está permitido (por ejemplo, a un usuario no autorizado) y, a menudo, enmascara su existencia o la existencia de otro software. . [1] El término rootkit es un compuesto de " root " (el nombre tradicional de la cuenta privilegiada en sistemas operativos tipo Unix) y la palabra "kit" (que se refiere a los componentes de software que implementan la herramienta). [2] El término "rootkit" tiene connotaciones negativas debido a su asociación con malware . [1]
La instalación de rootkit se puede automatizar, o un atacante puede instalarlo después de haber obtenido acceso de administrador o root. [3] La obtención de este acceso es el resultado de un ataque directo a un sistema, es decir, la explotación de una vulnerabilidad conocida (como la escalada de privilegios ) o una contraseña (obtenida mediante craqueo o tácticas de ingeniería social como " phishing "). Una vez instalado, es posible ocultar la intrusión y mantener el acceso privilegiado. El control total sobre un sistema significa que el software existente se puede modificar, incluido el software que de otro modo podría usarse para detectarlo o eludirlo.
La detección de rootkit es difícil porque un rootkit puede alterar el software que está destinado a encontrarlo. Los métodos de detección incluyen el uso de un sistema operativo alternativo y confiable , métodos basados en el comportamiento, escaneo de firmas, escaneo de diferencias y análisis de volcado de memoria . La eliminación puede ser complicada o prácticamente imposible, especialmente en los casos en los que el rootkit reside en el kernel ; la reinstalación del sistema operativo puede ser la única solución disponible al problema. Cuando se trata de rootkits de firmware , la eliminación puede requerir el reemplazo de hardware o equipo especializado.
El término rootkit o rootkit se refería originalmente a un conjunto de herramientas administrativas modificadas de forma malintencionada para un sistema operativo similar a Unix que otorgaba acceso " root ". [4] Si un intruso pudiera reemplazar las herramientas administrativas estándar en un sistema con un rootkit, el intruso podría obtener acceso de root sobre el sistema mientras simultáneamente oculta estas actividades al administrador legítimo del sistema . Estos rootkits de primera generación fueron triviales de detectar mediante el uso de herramientas como Tripwire que no habían sido comprometidas para acceder a la misma información. [5] [6]Lane Davis y Steven Dake escribieron el primer rootkit conocido en 1990 para el sistema operativo SunOS UNIX de Sun Microsystems . [7] En la conferencia que dio al recibir el premio Turing en 1983, Ken Thompson de Bell Labs , uno de los creadores de Unix , teorizó acerca de subvertir el compilador C en una distribución Unix y discutió el exploit. El compilador modificado detectaría intentos de compilar el comando Unix y generaría un código alterado que aceptaría no solo la contraseña correcta del usuario, sino una " puerta trasera " adicional.login"contraseña conocida por el atacante. Además, el compilador detectaría intentos de compilar una nueva versión del compilador e insertaría los mismos exploits en el nuevo compilador. Una revisión del código fuente del logincomando o del compilador actualizado no revelaría cualquier código malicioso. [8] Este exploit era equivalente a un rootkit.
El primer virus informático documentado dirigido a la computadora personal , descubierto en 1986, utilizó técnicas de encubrimiento para ocultarse: el virus Brain interceptó los intentos de leer el sector de inicio y los redirigió a otra parte del disco, donde se encontraba una copia del sector de inicio original. se mantuvo. [1] Con el tiempo, los métodos de encubrimiento de virus DOS se volvieron más sofisticados. Las técnicas avanzadas incluyeron el enganche de llamadas de interrupción de BIOS INT 13H de disco de bajo nivel para ocultar modificaciones no autorizadas a archivos. [1]
El primer rootkit malicioso para el sistema operativo Windows NT apareció en 1999: un troyano llamado NTRootkit creado por Greg Hoglund . [9] Fue seguido por HackerDefender en 2003. [1] El primer rootkit dirigido a Mac OS X apareció en 2009, [10] mientras que el gusano Stuxnet fue el primero en apuntar a controladores lógicos programables (PLC). [11]