Un rootkit es una colección de software informático , generalmente malicioso , diseñado para permitir el acceso a una computadora o un área de su software que de otra manera no está permitido (por ejemplo, a un usuario no autorizado) y, a menudo, enmascara su existencia o la existencia de otro software. . [1] El término rootkit es un compuesto de " root " (el nombre tradicional de la cuenta privilegiada en sistemas operativos tipo Unix) y la palabra "kit" (que se refiere a los componentes de software que implementan la herramienta). [2] El término "rootkit" tiene connotaciones negativas debido a su asociación con malware . [1]
La instalación de rootkit se puede automatizar, o un atacante puede instalarlo después de haber obtenido acceso de administrador o root. La obtención de este acceso es el resultado de un ataque directo a un sistema, es decir, la explotación de una vulnerabilidad conocida (como la escalada de privilegios ) o una contraseña (obtenida mediante craqueo o tácticas de ingeniería social como " phishing "). Una vez instalado, es posible ocultar la intrusión y mantener el acceso privilegiado. El control total sobre un sistema significa que el software existente se puede modificar, incluido el software que de otro modo podría usarse para detectarlo o eludirlo.
La detección de rootkit es difícil porque un rootkit puede alterar el software que está destinado a encontrarlo. Los métodos de detección incluyen el uso de un sistema operativo alternativo y confiable , métodos basados en el comportamiento, escaneo de firmas, escaneo de diferencias y análisis de volcado de memoria . La eliminación puede ser complicada o prácticamente imposible, especialmente en los casos en los que el rootkit reside en el kernel ; la reinstalación del sistema operativo puede ser la única solución disponible al problema. [3] Cuando se trata de rootkits de firmware , la eliminación puede requerir el reemplazo de hardware o equipo especializado.
Historia
El término rootkit o root kit se refería originalmente a un conjunto modificado de forma malintencionada de herramientas administrativas para un tipo Unix el sistema operativo que se conceden " raíz de acceso". [4] Si un intruso pudiera reemplazar las herramientas administrativas estándar en un sistema con un rootkit, el intruso podría obtener acceso de root sobre el sistema mientras simultáneamente oculta estas actividades al administrador legítimo del sistema . Estos rootkits de primera generación fueron triviales de detectar mediante el uso de herramientas como Tripwire que no habían sido comprometidas para acceder a la misma información. [5] [6] Lane Davis y Steven Dake escribieron el primer rootkit conocido en 1990 para el sistema operativo SunOS UNIX de Sun Microsystems . [7] En la conferencia que dio al recibir el premio Turing en 1983, Ken Thompson de Bell Labs , uno de los creadores de Unix , teorizó acerca de subvertir el compilador C en una distribución Unix y discutió el exploit. El compilador modificado detectaría intentos de compilar el comando Unix y generaría código alterado que aceptaría no solo la contraseña correcta del usuario, sino una contraseña adicional de " puerta trasera " conocida por el atacante. Además, el compilador detectaría intentos de compilar una nueva versión del compilador e insertaría los mismos exploits en el nuevo compilador. Una revisión del código fuente del comando o del compilador actualizado no revelaría ningún código malicioso. [8] Este exploit era equivalente a un rootkit.login
login
El primer virus informático documentado dirigido a la computadora personal , descubierto en 1986, utilizó técnicas de encubrimiento para ocultarse: el virus Brain interceptó los intentos de leer el sector de inicio y los redirigió a otra parte del disco, donde se encontraba una copia del sector de inicio original. se mantuvo. [1] Con el tiempo, los métodos de encubrimiento de virus DOS se volvieron más sofisticados. Las técnicas avanzadas incluyeron el enganche de llamadas de interrupción de BIOS INT 13H de disco de bajo nivel para ocultar modificaciones no autorizadas a archivos. [1]
El primer rootkit malicioso para el sistema operativo Windows NT apareció en 1999: un troyano llamado NTRootkit creado por Greg Hoglund . [9] Fue seguido por HackerDefender en 2003. [1] El primer rootkit dirigido a Mac OS X apareció en 2009, [10] mientras que el gusano Stuxnet fue el primero en apuntar a controladores lógicos programables (PLC). [11]
Escándalo de rootkit de protección de copia de Sony BMG
En 2005, Sony BMG publicó CD con protección de copia y software de gestión de derechos digitales llamado Extended Copy Protection , creado por la empresa de software First 4 Internet. El software incluía un reproductor de música pero instaló silenciosamente un rootkit que limitaba la capacidad del usuario para acceder al CD. [12] El ingeniero de software Mark Russinovich , quien creó la herramienta de detección de rootkit RootkitRevealer , descubrió el rootkit en una de sus computadoras. [1] El escándalo resultante aumentó la conciencia del público sobre los rootkits. [13] Para ocultarse, el rootkit ocultaba al usuario cualquier archivo que comenzara con "$ sys $". Poco después del informe de Russinovich, apareció un malware que se aprovechó de esa vulnerabilidad de los sistemas afectados. [1] Un analista de la BBC lo llamó una " pesadilla de relaciones públicas ". [14] Sony BMG lanzó parches para desinstalar el rootkit, pero expuso a los usuarios a una vulnerabilidad aún más grave. [15] La empresa finalmente retiró los CD. En los Estados Unidos, se entabló una demanda colectiva contra Sony BMG. [dieciséis]
Caso de escuchas telefónicas en Grecia 2004-05
El caso de las escuchas telefónicas griegas de 2004-05, también conocido como Watergate griego, [17] involucró la interceptación telefónica ilegal de más de 100 teléfonos móviles en la red Vodafone Grecia pertenecientes principalmente a miembros del gobierno griego y altos funcionarios. Las escuchas comenzaron a principios de agosto de 2004 y se retiraron en marzo de 2005 sin descubrir la identidad de los perpetradores. Los intrusos instalaron un rootkit dirigido a la central telefónica AX de Ericsson . Según IEEE Spectrum , esta fue "la primera vez que se observó un rootkit en un sistema de propósito especial, en este caso un conmutador telefónico de Ericsson". [18] El rootkit fue diseñado para parchear la memoria del intercambio mientras se estaba ejecutando, habilitar escuchas telefónicas mientras deshabilita los registros de auditoría, parchear los comandos que listan procesos activos y bloques de datos activos, y modificar el comando de verificación de suma de comprobación del bloque de datos . Una "puerta trasera" permitía a un operador con estado de administrador de sistemas desactivar el registro de transacciones de la central, las alarmas y los comandos de acceso relacionados con la capacidad de vigilancia. [18] El rootkit fue descubierto después de que los intrusos instalan una actualización defectuosa, lo que causó SMS textos para ser entregado, dando lugar a un informe de fallo automatizado que se generan. Se llamó a los ingenieros de Ericsson para investigar la falla y descubrieron los bloques de datos ocultos que contienen la lista de números de teléfono que se están monitoreando, junto con el rootkit y el software de monitoreo ilícito.
Usos
Los rootkits modernos no elevan el acceso, [4] sino que se utilizan para hacer indetectable la carga útil de otro software al agregar capacidades de sigilo. [9] La mayoría de los rootkits se clasifican como malware , porque las cargas útiles con las que se incluyen son maliciosas. Por ejemplo, una carga útil podría robar de forma encubierta contraseñas de usuario , información de tarjetas de crédito , recursos informáticos o realizar otras actividades no autorizadas. Un pequeño número de rootkits pueden ser considerados aplicaciones de utilidad por sus usuarios: por ejemplo, un rootkit puede encubrir un controlador de emulación de CD-ROM , lo que permite a los usuarios de videojuegos vencer las medidas antipiratería que requieren la inserción del medio de instalación original en un dispositivo físico. unidad óptica para verificar que el software se haya comprado de forma legítima.
Los rootkits y sus cargas útiles tienen muchos usos:
- Proporcione a un atacante acceso completo a través de una puerta trasera , permitiendo el acceso no autorizado para, por ejemplo, robar o falsificar documentos. Una de las formas de llevar a cabo esto es subvertir el mecanismo de inicio de sesión, como el programa / bin / login en sistemas similares a Unix o GINA en Windows. El reemplazo parece funcionar normalmente, pero también acepta una combinación de inicio de sesión secreta que permite a un atacante acceder directamente al sistema con privilegios administrativos, sin pasar por los mecanismos estándar de autenticación y autorización .
- Oculte otro malware , especialmente los registradores de claves que roban contraseñas y los virus informáticos . [19]
- Apropiarse de la máquina comprometida como una computadora zombi para ataques a otras computadoras. (El ataque se origina en el sistema o la red comprometidos, en lugar del sistema del atacante). Las computadoras "zombis" suelen ser miembros de grandes redes de bots que pueden, entre otras cosas, lanzar ataques de denegación de servicio , distribuir correo no deseado y realizar fraude de clics .
En algunos casos, los rootkits brindan la funcionalidad deseada y pueden instalarse intencionalmente en nombre del usuario de la computadora:
- Detecte y evite las trampas en juegos en línea con software como Warden y GameGuard . [20]
- Detecta ataques, por ejemplo, en un honeypot . [21]
- Mejore el software de emulación y el software de seguridad. [22] Alcohol 120% y Daemon Tools son ejemplos comerciales de rootkits no hostiles que se utilizan para anular los mecanismos de protección contra copias como SafeDisc y SecuROM . El software antivirus de Kaspersky también utiliza técnicas que se asemejan a los rootkits para protegerse de acciones maliciosas. Carga sus propios controladores para interceptar la actividad del sistema y luego evita que otros procesos se dañen a sí mismo. Sus procesos no están ocultos, pero no pueden terminarse con métodos estándar.
- Protección antirrobo: las computadoras portátiles pueden tener un software de rootkit basado en BIOS que informará periódicamente a una autoridad central, lo que permitirá que la computadora portátil sea monitoreada, deshabilitada o borrada de información en caso de que sea robada. [23]
- Omitir la activación de productos de Microsoft [24]
Tipos
Hay al menos cinco tipos de rootkit, que van desde los del nivel más bajo de firmware (con los privilegios más altos) hasta las variantes basadas en usuarios con menos privilegios que operan en Ring 3 . Pueden producirse combinaciones híbridas de estos que abarcan, por ejemplo, el modo de usuario y el modo de kernel. [25]
Modo de usuario
Los rootkits en modo de usuario se ejecutan en Ring 3 , junto con otras aplicaciones como usuario, en lugar de procesos de sistema de bajo nivel. [26] Tienen varios vectores de instalación posibles para interceptar y modificar el comportamiento estándar de las interfaces de programación de aplicaciones (API). Algunos inyectan una biblioteca vinculada dinámicamente (como un archivo .DLL en Windows o un archivo .dylib en Mac OS X ) en otros procesos y, por lo tanto, pueden ejecutar dentro de cualquier proceso de destino para suplantarlo; otros con suficientes privilegios simplemente sobrescriben la memoria de una aplicación de destino. Los mecanismos de inyección incluyen: [26]
- Uso de extensiones de aplicaciones proporcionadas por el proveedor. Por ejemplo, el Explorador de Windows tiene interfaces públicas que permiten a terceros ampliar su funcionalidad.
- Interceptación de mensajes .
- Depuradores .
- Explotación de vulnerabilidades de seguridad .
- Función de enganche o parcheo de API de uso común, por ejemplo, para ocultar un proceso o archivo en ejecución que reside en un sistema de archivos. [27]
... dado que todas las aplicaciones en modo usuario se ejecutan en su propio espacio de memoria, el rootkit necesita realizar este parcheo en el espacio de memoria de cada aplicación en ejecución. Además, el rootkit necesita monitorear el sistema en busca de nuevas aplicaciones que se ejecuten y parchear el espacio de memoria de esos programas antes de que se ejecuten por completo.
- Descripción general del rootkit de Windows, Symantec [4]
Modo kernel
Los rootkits en modo kernel se ejecutan con los privilegios más altos del sistema operativo ( Ring 0 ) agregando código o reemplazando partes del sistema operativo central, incluidos tanto el kernel como los controladores de dispositivo asociados . La mayoría de los sistemas operativos admiten controladores de dispositivos en modo kernel, que se ejecutan con los mismos privilegios que el propio sistema operativo. Como tal, muchos rootkits en modo kernel se desarrollan como controladores de dispositivo o módulos cargables, como módulos de kernel cargables en Linux o controladores de dispositivo en Microsoft Windows . Esta clase de rootkit tiene acceso de seguridad sin restricciones, pero es más difícil de escribir. [28] La complejidad hace que los errores sean comunes, y cualquier error en el código que opera a nivel del kernel puede afectar seriamente la estabilidad del sistema, lo que lleva al descubrimiento del rootkit. [28] Uno de los primeros rootkits de kernel ampliamente conocidos fue desarrollado para Windows NT 4.0 y publicado en la revista Phrack en 1999 por Greg Hoglund . [29] [30] [31] Los rootkits del kernel pueden ser especialmente difíciles de detectar y eliminar porque operan con el mismo nivel de seguridad que el propio sistema operativo y, por lo tanto, pueden interceptar o subvertir las operaciones más confiables del sistema operativo. Cualquier software, como el software antivirus , que se ejecute en el sistema comprometido es igualmente vulnerable. [32] En esta situación, no se puede confiar en ninguna parte del sistema.
Un rootkit puede modificar estructuras de datos en el kernel de Windows mediante un método conocido como manipulación directa de objetos del kernel (DKOM). [33] Este método se puede utilizar para ocultar procesos. Un rootkit en modo kernel también puede enganchar la tabla de descriptores de servicios del sistema (SSDT) o modificar las puertas entre el modo de usuario y el modo de kernel para ocultarse. [4] De manera similar para el sistema operativo Linux , un rootkit puede modificar la tabla de llamadas del sistema para subvertir la funcionalidad del kernel. [34] Es común que un rootkit cree un sistema de archivos oculto y cifrado en el que puede ocultar otro malware o copias originales de los archivos que ha infectado. [35] Los sistemas operativos están evolucionando para contrarrestar la amenaza de los rootkits en modo kernel. Por ejemplo, las ediciones de 64 bits de Microsoft Windows ahora implementan la firma obligatoria de todos los controladores de nivel de kernel para dificultar la ejecución del código que no es de confianza con los privilegios más altos en un sistema. [36]
Bootkits
Una variante de rootkit en modo kernel llamada bootkit puede infectar código de inicio como Master Boot Record (MBR), Volume Boot Record (VBR) o sector de inicio , y de esta manera puede usarse para atacar sistemas de cifrado de disco completo .
Un ejemplo de un ataque de este tipo al cifrado de disco es el " ataque maid maid ", en el que un atacante instala un kit de arranque en una computadora desatendida. El escenario imaginado es una criada que se cuela en la habitación del hotel donde las víctimas dejaron su hardware. [37] El kit de arranque reemplaza el cargador de arranque legítimo por uno bajo su control. Normalmente, el cargador de malware persiste durante la transición al modo protegido cuando el kernel se ha cargado y, por lo tanto, es capaz de subvertir el kernel. [38] [39] [40] Por ejemplo, el "Stoned Bootkit" subvierte el sistema mediante el uso de un cargador de arranque comprometido para interceptar claves de cifrado y contraseñas. [41] [ fuente autoeditada? ] Más recientemente, el rootkit Alureon ha subvertido con éxito el requisito de firma de controladores en modo kernel de 64 bits en Windows 7 , modificando el registro de arranque maestro . [42] Aunque no es malware en el sentido de hacer algo que el usuario no quiere, cierto software "Vista Loader" o "Windows Loader" funciona de manera similar al inyectar una tabla ACPI SLIC (Código interno bajo licencia del sistema) en la RAM. -versión en caché del BIOS durante el arranque, para anular el proceso de activación de Windows Vista y Windows 7 . [43] [44] Este vector de ataque se volvió inútil en las versiones (sin servidor) de Windows 8 , que usan una clave única y específica de la máquina para cada sistema, que solo puede ser utilizada por esa máquina. [45] Muchas empresas de antivirus ofrecen programas y utilidades gratuitas para eliminar bootkits.
Nivel de hipervisor
Los rootkits se han creado como hipervisores de tipo II en la academia como pruebas de concepto. Al explotar las funciones de virtualización de hardware como Intel VT o AMD-V , este tipo de rootkit se ejecuta en Ring -1 y aloja el sistema operativo de destino como una máquina virtual , lo que permite que el rootkit intercepte las llamadas de hardware realizadas por el sistema operativo original. [6] A diferencia de los hipervisores normales, no tienen que cargarse antes que el sistema operativo, pero pueden cargarse en un sistema operativo antes de promoverlo en una máquina virtual. [6] Un rootkit de hipervisor no tiene que hacer ninguna modificación al kernel del objetivo para subvertirlo; sin embargo, eso no significa que el sistema operativo invitado no pueda detectarlo. Por ejemplo, las diferencias de tiempo pueden detectarse en las instrucciones de la CPU . [6] El rootkit de laboratorio "SubVirt", desarrollado conjuntamente por investigadores de Microsoft y la Universidad de Michigan , es un ejemplo académico de un rootkit basado en máquina virtual (VMBR), [46] mientras que el software Blue Pill es otro. En 2009, investigadores de Microsoft y la Universidad Estatal de Carolina del Norte demostraron un anti-rootkit de capa de hipervisor llamado Hooksafe , que proporciona protección genérica contra rootkits en modo kernel. [47] Windows 10 introdujo una nueva característica llamada "Device Guard", que aprovecha la virtualización para proporcionar protección externa independiente de un sistema operativo contra malware de tipo rootkit. [48]
Firmware y hardware
Un rootkit de firmware utiliza firmware de dispositivo o plataforma para crear una imagen de malware persistente en el hardware, como un enrutador , una tarjeta de red , [49] disco duro o el BIOS del sistema . [26] [50] El rootkit se esconde en el firmware, porque el firmware generalmente no se inspecciona para verificar la integridad del código . John Heasman demostró la viabilidad de los rootkits de firmware tanto en las rutinas de firmware ACPI [51] como en la ROM de una tarjeta de expansión PCI . [52] En octubre de 2008, los delincuentes manipularon las máquinas de lectura de tarjetas de crédito europeas antes de que fueran instaladas. Los dispositivos interceptaron y transmitieron datos de tarjetas de crédito a través de una red de telefonía móvil. [53] En marzo de 2009, los investigadores Alfredo Ortega y Anibal Sacco publicaron detalles de un rootkit de Windows a nivel de BIOS que pudo sobrevivir al reemplazo del disco y la reinstalación del sistema operativo. [54] [55] [56] Unos meses más tarde se enteraron de que algunas laptops se venden con un rootkit legítimo, conocido como Absolute CompuTrace o Absolute LoJack for Laptops , preinstalado en muchas imágenes de BIOS. Se trata de un sistema de tecnología antirrobo que, según demostraron los investigadores, puede utilizarse con fines maliciosos. [23]
La tecnología Intel Active Management , parte de Intel vPro , implementa la administración fuera de banda , lo que brinda a los administradores administración remota , administración remota y control remoto de las PC sin la participación del procesador host o BIOS, incluso cuando el sistema está apagado. La administración remota incluye encendido y apagado remotos, restablecimiento remoto, arranque redirigido, redireccionamiento de consola, acceso previo al arranque a la configuración del BIOS, filtrado programable para el tráfico de red entrante y saliente, verificación de presencia de agentes, basado en políticas fuera de banda alertas, acceso a la información del sistema, como información de activos de hardware, registros de eventos persistentes y otra información que se almacena en la memoria dedicada (no en el disco duro) donde es accesible incluso si el sistema operativo está inactivo o la PC está apagada. Algunas de estas funciones requieren el nivel más profundo de rootkit, una segunda computadora espía no extraíble construida alrededor de la computadora principal. Sandy Bridge y los conjuntos de chips futuros tienen "la capacidad de eliminar y restaurar remotamente una PC perdida o robada a través de 3G". Los rootkits de hardware integrados en el chipset pueden ayudar a recuperar computadoras robadas, eliminar datos o inutilizarlas, pero también presentan problemas de privacidad y seguridad de espionaje indetectable y redireccionamiento por parte de la administración o los piratas informáticos que podrían obtener el control.
Instalación y encubrimiento
Los rootkits emplean una variedad de técnicas para obtener el control de un sistema; el tipo de rootkit influye en la elección del vector de ataque. La técnica más común aprovecha las vulnerabilidades de seguridad para lograr una escalada subrepticia de privilegios . Otro enfoque es utilizar un caballo de Troya , engañando al usuario de la computadora para que confíe en que el programa de instalación del rootkit es benigno; en este caso, la ingeniería social convence al usuario de que el rootkit es beneficioso. [28] La tarea de instalación se facilita si no se aplica el principio de privilegios mínimos , ya que el rootkit no tiene que solicitar explícitamente privilegios elevados (nivel de administrador). Otras clases de rootkits solo pueden ser instaladas por alguien con acceso físico al sistema de destino. Algunos rootkits también pueden ser instalados intencionalmente por el propietario del sistema o alguien autorizado por el propietario, por ejemplo, con el propósito de monitorear a los empleados , haciendo innecesarias tales técnicas subversivas. [57] Algunas instalaciones de rootkit maliciosos son impulsadas comercialmente, con un método de compensación de pago por instalación (PPI) típico de la distribución. [58] [59]
Una vez instalado, un rootkit toma medidas activas para ocultar su presencia dentro del sistema host mediante la subversión o la evasión de las herramientas de seguridad estándar del sistema operativo y la interfaz de programación de aplicaciones (API) que se utilizan para el diagnóstico, el escaneo y el monitoreo. Los rootkits logran esto modificando el comportamiento de las partes centrales de un sistema operativo mediante la carga de código en otros procesos, la instalación o modificación de controladores o módulos del kernel . Las técnicas de ofuscación incluyen ocultar los procesos en ejecución de los mecanismos de supervisión del sistema y ocultar los archivos del sistema y otros datos de configuración. [60] No es raro que un rootkit deshabilite la capacidad de registro de eventos de un sistema operativo, en un intento de ocultar la evidencia de un ataque. Los rootkits pueden, en teoría, subvertir cualquier actividad del sistema operativo. [61] El "rootkit perfecto" puede considerarse similar a un " crimen perfecto ": uno que nadie se da cuenta de que ha ocurrido. Los rootkits también toman una serie de medidas para asegurar su supervivencia frente a la detección y "limpieza" por parte del software antivirus, además de instalarse comúnmente en Ring 0 (modo kernel), donde tienen acceso completo a un sistema. Estos incluyen polimorfismo (cambiar para que su "firma" sea difícil de detectar), técnicas de sigilo, regeneración, deshabilitar o apagar el software anti-malware, [62] y no instalar en máquinas virtuales donde puede ser más fácil para los investigadores descubrir y analizar ellos.
Detección
El problema fundamental con la detección de rootkit es que si el sistema operativo ha sido alterado, particularmente por un rootkit a nivel de kernel, no se puede confiar en que encuentre modificaciones no autorizadas en sí mismo o en sus componentes. [61] No se puede confiar en que acciones como solicitar una lista de procesos en ejecución o una lista de archivos en un directorio se comporten como se esperaba. En otras palabras, los detectores de rootkits que funcionan mientras se ejecutan en sistemas infectados solo son efectivos contra rootkits que tienen algún defecto en su camuflaje o que se ejecutan con privilegios de modo de usuario más bajos que el software de detección en el kernel. [28] Al igual que con los virus informáticos , la detección y eliminación de rootkits es una lucha constante entre ambos lados de este conflicto. [61] La detección puede adoptar una serie de enfoques diferentes, incluida la búsqueda de "firmas" de virus (por ejemplo, software antivirus), verificación de integridad (por ejemplo, firmas digitales ), detección basada en diferencias (comparación de resultados esperados frente a resultados reales) y detección de comportamiento. (por ejemplo, supervisar el uso de la CPU o el tráfico de red).
Para los rootkits en modo kernel, la detección es considerablemente más compleja y requiere un escrutinio cuidadoso de la tabla de llamadas del sistema para buscar funciones enganchadas donde el malware puede estar subvirtiendo el comportamiento del sistema, [63] así como el análisis forense de la memoria en busca de patrones que indiquen procesos ocultos . Ofertas de detección de rootkit Unix incluyen Zeppoo, [64] chkrootkit , rkhunter y OSSEC . Para Windows, las herramientas de detección incluyen Microsoft Sysinternals RootkitRevealer , [65] Avast Antivirus , [66] Sophos Anti-Rootkit, [67] F-Secure , [68] Radix, [69] GMER , [70] y WindowsSCOPE . Cualquier detector de rootkit que demuestre ser efectivo contribuye en última instancia a su propia ineficacia, ya que los autores de malware adaptan y prueban su código para escapar de la detección de herramientas bien utilizadas. [Notas 1] La detección mediante el examen del almacenamiento mientras el sistema operativo sospechoso no está operativo puede perder rootkits no reconocidos por el software de verificación, ya que el rootkit no está activo y se suprime el comportamiento sospechoso; El software antimalware convencional que se ejecuta con el rootkit operativo puede fallar si el rootkit se oculta de forma eficaz.
Medio de confianza alternativo
El método mejor y más fiable para la detección de nivel de sistema operativo rootkit es apagar el equipo sospecha de infección, y después de comprobar su almacenamiento mediante el arranque de una alternativa de confianza medio (por ejemplo un "rescate" de CD-ROM o una unidad flash USB ). [71] La técnica es eficaz porque un rootkit no puede ocultar activamente su presencia si no se está ejecutando.
Basado en el comportamiento
El enfoque basado en el comportamiento para detectar rootkits intenta inferir la presencia de un rootkit buscando un comportamiento similar al de un rootkit. Por ejemplo, al perfilar un sistema, las diferencias en el tiempo y la frecuencia de las llamadas a la API o en la utilización general de la CPU se pueden atribuir a un rootkit. El método es complejo y se ve obstaculizado por una alta incidencia de falsos positivos . Los rootkits defectuosos a veces pueden introducir cambios muy obvios en un sistema: el rootkit de Alureon bloqueó los sistemas de Windows después de que una actualización de seguridad expusiera una falla de diseño en su código. [72] [73] Los registros de un analizador de paquetes , un cortafuegos o un sistema de prevención de intrusiones pueden presentar evidencia del comportamiento de un rootkit en un entorno de red. [25]
Basado en firmas
Los productos antivirus rara vez detectan todos los virus en las pruebas públicas (según lo que se utilice y en qué medida), aunque los proveedores de software de seguridad incorporan la detección de rootkits en sus productos. Si un rootkit intenta ocultarse durante un análisis antivirus, es posible que un detector sigiloso lo note; si el rootkit intenta descargarse temporalmente del sistema, la detección de firmas (o "huellas digitales") aún puede encontrarlo. Este enfoque combinado obliga a los atacantes a implementar mecanismos de contraataque, o rutinas "retro", que intentan terminar con los programas antivirus. Los métodos de detección basados en firmas pueden ser efectivos contra rootkits bien publicados, pero menos contra rootkits personalizados y especialmente diseñados. [61]
Basado en diferencias
Otro método que puede detectar rootkits compara datos sin procesar "confiables" con contenido "contaminado" devuelto por una API . Por ejemplo, los binarios presentes en el disco se pueden comparar con sus copias dentro de la memoria operativa (en algunos sistemas operativos, la imagen en la memoria debe ser idéntica a la imagen en el disco), o los resultados devueltos desde el sistema de archivos o las API del Registro de Windows pueden comprobarse con estructuras en bruto en los discos físicos subyacentes [61] [74]; sin embargo, en el caso del primero, se pueden introducir algunas diferencias válidas mediante mecanismos del sistema operativo como la reubicación de la memoria o el shimming . Un rootkit puede detectar la presencia de un escáner basado en diferencias o una máquina virtual (esta última se usa comúnmente para realizar análisis forenses) y ajustar su comportamiento para que no se puedan detectar diferencias. Detección basada en la diferencia fue utilizado por Russinovich 's RootkitRevealer herramienta para encontrar el rootkit de Sony DRM. [1]
Comprobación de integridad
La firma de código utiliza una infraestructura de clave pública para verificar si un archivo ha sido modificado desde que fue firmado digitalmente por su editor. Alternativamente, el propietario o administrador del sistema puede utilizar una función hash criptográfica para calcular una "huella digital" en el momento de la instalación que puede ayudar a detectar cambios no autorizados posteriores en las bibliotecas de códigos en disco. [75] Sin embargo, los esquemas poco sofisticados solo verifican si el código ha sido modificado desde el momento de la instalación; la subversión anterior a ese momento no es detectable. La huella digital debe restablecerse cada vez que se realizan cambios en el sistema: por ejemplo, después de instalar actualizaciones de seguridad o un paquete de servicios . La función hash crea un resumen del mensaje , un código relativamente corto que se calcula a partir de cada bit del archivo mediante un algoritmo que crea grandes cambios en el resumen del mensaje con cambios aún más pequeños en el archivo original. Al recalcular y comparar el resumen de mensajes de los archivos instalados a intervalos regulares con una lista confiable de resúmenes de mensajes, los cambios en el sistema se pueden detectar y monitorear, siempre que la línea de base original se haya creado antes de agregar el malware.
Los rootkits más sofisticados pueden subvertir el proceso de verificación presentando una copia sin modificar del archivo para su inspección, o haciendo modificaciones de código solo en la memoria, registros de reconfiguración, que luego se comparan con una lista blanca de valores esperados. [76] El código que realiza operaciones hash, comparar o extender también debe estar protegido; en este contexto, la noción de una raíz de confianza inmutable sostiene que el primer código para medir las propiedades de seguridad de un sistema debe ser de confianza. para garantizar que un rootkit o bootkit no comprometa el sistema en su nivel más fundamental. [77]
Volcados de memoria
Forzar un volcado completo de memoria virtual capturará un rootkit activo (o un volcado de kernel en el caso de un rootkit en modo kernel), lo que permitirá realizar un análisis forense fuera de línea con un depurador contra el archivo de volcado resultante , sin que el rootkit pueda tomar cualquier medida para ocultarse. Esta técnica es altamente especializada y puede requerir acceso a código fuente no público o símbolos de depuración . Volcados de memoria iniciada por el sistema operativo no siempre se puede utilizar para detectar un rootkit basada en hipervisor, que es capaz de interceptar y derribar los intentos de nivel más bajo para leer la memoria [6] -un dispositivo de hardware, tales como uno que implementa un no interrupción enmascarable , puede ser necesaria para volcar memoria en este escenario. [78] [79] Las máquinas virtuales también facilitan el análisis de la memoria de una máquina comprometida desde el hipervisor subyacente, por lo que algunos rootkits evitarán infectar las máquinas virtuales por esta razón.
Eliminación
La eliminación manual de un rootkit es a menudo extremadamente difícil para un usuario de computadora típico, [26] pero varios proveedores de software de seguridad ofrecen herramientas para detectar y eliminar automáticamente algunos rootkits, generalmente como parte de una suite antivirus . Desde 2005[actualizar], La Herramienta de eliminación de software malintencionado de Windows de Microsoft es capaz de detectar y eliminar algunas clases de rootkits. [80] [81] Además, Windows Defender Offline puede eliminar rootkits, ya que se ejecuta desde un entorno de confianza antes de que se inicie el sistema operativo. Algunos escáneres antivirus pueden omitir las API del sistema de archivos , que son vulnerables a la manipulación por parte de un rootkit. En su lugar, acceden directamente a las estructuras del sistema de archivos sin procesar y utilizan esta información para validar los resultados de las API del sistema para identificar cualquier diferencia que pueda ser causada por un rootkit. [Notas 2] [82] [83] [84] [85] Hay expertos que creen que la única forma confiable de eliminarlos es reinstalar el sistema operativo desde un medio confiable. [86] [87] Esto se debe a que las herramientas antivirus y de eliminación de malware que se ejecutan en un sistema que no es de confianza pueden ser ineficaces contra rootkits en modo kernel bien escritos. Arrancar un sistema operativo alternativo desde un medio confiable puede permitir montar un volumen del sistema infectado y potencialmente limpiarlo de manera segura y copiar datos críticos o, alternativamente, realizar un examen forense. [25] Los sistemas operativos ligeros como Windows PE , Consola de recuperación de Windows , Entorno de recuperación de Windows , BartPE o Live Distros se pueden utilizar para este propósito, lo que permite "limpiar" el sistema. Incluso si se conoce el tipo y la naturaleza de un rootkit, la reparación manual puede no ser práctica, mientras que volver a instalar el sistema operativo y las aplicaciones es más seguro, más simple y más rápido. [86]
Defensas
El endurecimiento del sistema representa una de las primeras capas de defensa contra un rootkit, para evitar que se pueda instalar. [88] La aplicación de parches de seguridad , la implementación del principio de privilegio mínimo , la reducción de la superficie de ataque y la instalación de software antivirus son algunas de las mejores prácticas de seguridad estándar que son efectivas contra todas las clases de malware. [89] Se han diseñado nuevas especificaciones de arranque seguro como la Interfaz de firmware extensible unificada para abordar la amenaza de los bootkits, pero incluso estos son vulnerables si no se utilizan las características de seguridad que ofrecen. [50] Para los sistemas de servidor, la certificación de servidor remoto que utiliza tecnologías como Intel Trusted Execution Technology (TXT) proporciona una forma de verificar que los servidores permanezcan en un buen estado conocido. Por ejemplo, el cifrado de datos en reposo de Microsoft Bitlocker verifica que los servidores estén en un "buen estado" conocido en el arranque. PrivateCore vCage es una oferta de software que protege los datos-en-uso (de memoria) para evitar bootkits y rootkits verificando los servidores están en un estado conocido "bueno" en el arranque. La implementación de PrivateCore funciona en conjunto con Intel TXT y bloquea las interfaces del sistema del servidor para evitar posibles bootkits y rootkits.
Ver también
- Conferencia de seguridad informática
- Sistema de detección de intrusos basado en host
- Ataque de intermediario
- El arsenal de rootkits: escape y evasión en los rincones oscuros del sistema
Notas
- ^ El nombre de proceso de Sysinternals RootkitRevealer fue atacado por malware; En un intento de contrarrestar esta contramedida, la herramienta ahora usa un nombre de proceso generado aleatoriamente.
- ^ En teoría, un rootkit a nivel de kernel suficientemente sofisticado también podría subvertir las operaciones de lectura contra las estructuras de datos del sistema de archivos sin procesar, de modo que coincidan con los resultados devueltos por las API.
Referencias
- ^ a b c d e f g h "Rootkits, parte 1 de 3: la creciente amenaza" (PDF) . McAfee . 2006-04-17. Archivado desde el original (PDF) el 23 de agosto de 2006.
- ^ Colbert, Edward JM; Kott, Alexander (23 de agosto de 2016). "6.2.3 Rootkits" . Ciberseguridad de SCADA y otros sistemas de control industrial . Saltador. ISBN 9783319321257.
- ^ "Eliminación de rootkit de un sistema Windows" . 2011-10-25.
- ^ a b c d "Descripción general de Windows Rootkit" (PDF) . Symantec . 2006-03-26. Archivado desde el original (PDF) el 14 de diciembre de 2010 . Consultado el 17 de agosto de 2010 . Cite journal requiere
|journal=
( ayuda ) - ^ Chispas, Sherri; Mayordomo, Jamie (1 de agosto de 2005). "Elevando el listón para la detección de rootkit de Windows". Phrack . 0xb (x3d).
- ^ a b c d e Myers, Michael; Youndt, Stephen (7 de agosto de 2007). "Una introducción a los rootkits de máquina virtual asistida por hardware (HVM)". Seguridad crucial. CiteSeerX : 10.1.1.90.8832 . Cite journal requiere
|journal=
( ayuda ) - ^ Andrew Hay; Daniel Cid; Rory Bray (2008). Guía de detección de intrusiones basada en host de OSSEC . Syngress. pag. 276. ISBN 978-1-59749-240-9.
- ^ Thompson, Ken (agosto de 1984). "Reflexiones sobre la confianza en la confianza" (PDF) . Comunicaciones de la ACM . 27 (8): 761. doi : 10.1145 / 358198.358210 .
- ^ a b Greg Hoglund; James Butler (2006). Rootkits: subvirtiendo el kernel de Windows . Addison-Wesley. pag. 4. ISBN 978-0-321-29431-9.
- ^ Dai Zovi, Dino (26 de julio de 2009). Rootkits avanzados de Mac OS X (PDF) . Blackhat . Sistemas de finales . Consultado el 23 de noviembre de 2010 .
- ^ "Stuxnet presenta el primer rootkit conocido para sistemas de control industrial" . Symantec . 2010-08-06 . Consultado el 4 de diciembre de 2010 .
- ^ "Detalle de software espía: XCP.Sony.Rootkit" . Asociados informáticos . 2005-11-05. Archivado desde el original el 18 de agosto de 2010 . Consultado el 19 de agosto de 2010 .
- ^ Russinovich, Mark (31 de octubre de 2005). "Sony, rootkits y gestión de derechos digitales han ido demasiado lejos" . Blogs de TechNet . Microsoft . Consultado el 16 de agosto de 2010 .
- ^ "Problemas de CD rootkit a largo plazo de Sony" . BBC News . 2005-11-21 . Consultado el 15 de septiembre de 2008 .
- ^ Felton, Ed (15 de noviembre de 2005). "Desinstalador basado en Web de Sony abre un gran agujero de seguridad; Sony para recuperar discos" .
- ^ Knight, Will (11 de noviembre de 2005). "Sony BMG demandó por software de camuflaje en CD de música" . Nuevo científico . Consultado el 21 de noviembre de 2010 .
- ^ Kyriakidou, Dina (2 de marzo de 2006). " El escándalo " griego Watergate "envía ondas de choque políticas" . Reuters . Consultado el 24 de noviembre de 2007 .[ enlace muerto ]
- ^ a b Vassilis Prevelakis; Diomidis Spinellis (julio de 2007). "El asunto de Atenas" .
- ^ Russinovich, Mark (junio de 2005). "Desenterrando kits de raíces" . Windows IT Pro . Archivado desde el original el 18 de septiembre de 2012 . Consultado el 16 de diciembre de 2010 .
- ^ "World of Warcraft Hackers usando Sony BMG Rootkit" . El registro . 2005-11-04 . Consultado el 23 de agosto de 2010 .
- ^ Steve Hanna (septiembre de 2007). "Uso de la tecnología Rootkit para la detección de malware basada en Honeypot" (PDF) . Reunión CCEID. Cite journal requiere
|journal=
( ayuda ) - ^ Russinovich, Mark (6 de febrero de 2006). "Uso de rootkits para derrotar a la gestión de derechos digitales" . Winternals . SysInternals. Archivado desde el original el 14 de agosto de 2006 . Consultado el 13 de agosto de 2006 .
- ^ a b Ortega, Alfredo; Sacco, Anibal (24 de julio de 2009). Desactive el Rootkit: Ataques a tecnologías antirrobo de BIOS (PDF) . Black Hat USA 2009 (PDF). Boston, MA: Tecnologías de seguridad básicas . Consultado el 12 de junio de 2014 .
- ^ Kleissner, Peter (2 de septiembre de 2009). "Stoned Bootkit: El auge de los rootkits y bootkits MBR en la naturaleza" (PDF) . Archivado desde el original (PDF) el 16 de julio de 2011 . Consultado el 23 de noviembre de 2010 . Cite journal requiere
|journal=
( ayuda ) - ^ a b c Anson, Steve; Bunting, Steve (2007). Dominar la investigación y el análisis forense de redes de Windows . John Wiley e hijos. págs. 73–74. ISBN 978-0-470-09762-5.
- ^ a b c d "Rootkits parte 2: una introducción técnica" (PDF) . McAfee . 2007-04-03. Archivado desde el original (PDF) el 5 de diciembre de 2008 . Consultado el 17 de agosto de 2010 .
- ^ Kdm. "NTIllusion: un rootkit portátil para el área de usuario de Win32" . Phrack . 62 (12).
- ^ a b c d "Comprensión de las tecnologías anti-malware" (PDF) . Microsoft . 2007-02-21. Archivado desde el original (PDF) el 2010-09-11 . Consultado el 17 de agosto de 2010 .
- ^ Hoglund, Greg (9 de septiembre de 1999). "Un Rootkit * REAL * NT, parcheando el Kernel NT" . Phrack . 9 (55) . Consultado el 21 de noviembre de 2010 .
- ^ Shevchenko, Alisa (1 de septiembre de 2008). "Evolución de rootkit" . Ayuda Net Security . Ayuda Net Security.
- ^ Chuvakin, Anton (2 de febrero de 2003 ). Una descripción general de los rootkits de Unix (PDF) (Informe). Chantilly, Virginia: iDEFENSE. Archivado desde el original (PDF) el 25 de julio de 2011 . Consultado el 21 de noviembre de 2010 .
- ^ Mayordomo, James; Sparks, Sherri (16 de noviembre de 2005). "Windows Rootkits de 2005, segunda parte" . Symantec Connect . Symantec . Consultado el 13 de noviembre de 2010 .
- ^ Mayordomo, James; Sparks, Sherri (3 de noviembre de 2005). "Windows Rootkits de 2005, primera parte" . Symantec Connect . Symantec . Consultado el 12 de noviembre de 2010 .
- ^ Burdach, Mariusz (17 de noviembre de 2004). "Detección de rootkits y compromisos a nivel de kernel en Linux" . Symantec . Consultado el 23 de noviembre de 2010 .
- ^ Marco Giuliani (11 de abril de 2011). "ZeroAccess: un rootkit avanzado en modo kernel" (PDF) . Software Webroot . Consultado el 10 de agosto de 2011 . Cite journal requiere
|journal=
( ayuda ) - ^ "Requisitos de firma de controladores para Windows" . Microsoft . Consultado el 6 de julio de 2008 .
- ^ Schneier, Bruce (23 de octubre de 2009). " Ataques de ' Evil Maid' en discos duros cifrados" . Consultado el 7 de noviembre de 2009 .
- ^ Soeder, Derek; Permeh, Ryan (9 de mayo de 2007). "Bootroot" . eEye Digital Security. Archivado desde el original el 17 de agosto de 2013 . Consultado el 23 de noviembre de 2010 .
- ^ Kumar, Nitin; Kumar, Vipin (2007). Vbootkit: Comprometer la seguridad de Windows Vista (PDF) . Black Hat Europe 2007 .
- ^ "KIT DE ARRANQUE: Sector de arranque personalizado basado en Windows 2000 / XP / 2003 Subversion" . NVlabs . 2007-02-04. Archivado desde el original el 10 de junio de 2010 . Consultado el 21 de noviembre de 2010 .
- ^ Kleissner, Peter (19 de octubre de 2009). "Kit de botas apedreado" . Peter Kleissner . Consultado el 7 de noviembre de 2009 .[ fuente autoeditada ]
- ^ Goodin, Dan (16 de noviembre de 2010). "El Rootkit más avanzado del mundo penetra en Windows de 64 bits" . El registro . Consultado el 22 de noviembre de 2010 .
- ^ Peter Kleissner, "El ascenso de MBR rootkits y bootkits in the Wild", cortando aleatorio (2009) - texto Archivado 2011-07-16 en la Wayback Machine ; diapositivas Archivado el 6 de enero de 2014 en la Wayback Machine.
- ^ Cargador de Windows - Informador de software. Esta es la aplicación de cargador que utilizan millones de personas en todo el mundo.
- ^ Microsoft refuerza el control sobre las licencias OEM de Windows 8
- ^ King, Samuel T .; Chen, Peter M .; Wang, Yi-Min; Verbowski, Chad; Wang, Helen J .; Lorch, Jacob R. (3 de abril de 2006). International Business Machines (ed.). SubVirt: Implementación de malware con máquinas virtuales (PDF) . Simposio de 2006 IEEE sobre seguridad y privacidad . Instituto de Ingenieros Eléctricos y Electrónicos . doi : 10.1109 / SP.2006.38 . ISBN 0-7695-2574-1. Consultado el 15 de septiembre de 2008 .
- ^ Wang, Zhi; Jiang, Xuxian; Cui, Weidong; Ning, Peng (11 de agosto de 2009). "Contrarrestar los rootkits de kernel con protección de gancho ligero" (PDF) . En Al-Shaer, Ehab (Presidente general) (ed.). Actas de la 16ª Conferencia de la ACM sobre seguridad informática y de comunicaciones . CCS 2009: 16ª Conferencia de la ACM sobre seguridad informática y de comunicaciones . Jha, Somesh; Keromytis, Angelos D. (Coordinadores de programas). Nueva York: ACM New York. doi : 10.1145 / 1653662.1653728 . ISBN 978-1-60558-894-0. Consultado el 11 de noviembre de 2009 .
- ^ "Device Guard es la combinación del control de aplicaciones de Windows Defender y la protección de la integridad del código basada en la virtualización (Windows 10)" .
- ^ Delugré, Guillaume (21 de noviembre de 2010). Inversión del firmware de Broacom NetExtreme (PDF) . hack.lu. Sogeti. Archivado desde el original (PDF) el 25 de abril de 2012 . Consultado el 25 de noviembre de 2010 .
- ^ a b "El equipo de piratería utiliza el rootkit UEFI BIOS para mantener el agente RCS 9 en los sistemas de destino - Blog de inteligencia de seguridad de TrendLabs" . 2015-07-13.
- ^ Heasman, John (25 de enero de 2006). Implementación y detección de un rootkit BIOS ACPI (PDF) . Black Hat Federal 2006 . Consultoría NGS . Consultado el 21 de noviembre de 2010 .
- ^ Heasman, John (15 de noviembre de 2006). "Implementación y detección de un Rootkit PCI" (PDF) . Software de seguridad de próxima generación. CiteSeerX : 10.1.1.89.7305 . Consultado el 13 de noviembre de 2010 . Cite journal requiere
|journal=
( ayuda ) - ^ Modine, Austin (10 de octubre de 2008). "Alteraciones del crimen organizado con dispositivos de deslizamiento de tarjetas europeas: datos del cliente transmitidos al extranjero" . El registro . Publicación de situaciones . Consultado el 13 de octubre de 2008 .
- ^ Sacco, Anibal; Ortéga, Alfredo (2009). Infección persistente del BIOS (PDF) . CanSecWest 2009 . Tecnologías de seguridad básicas . Consultado el 21 de noviembre de 2010 .
- ^ Goodin, Dan (24 de marzo de 2009). "Los nuevos rootkits sobreviven a la limpieza del disco duro" . El registro . Publicación de situaciones . Consultado el 25 de marzo de 2009 .
- ^ Sacco, Anibal; Ortéga, Alfredo (1 de junio de 2009). "Infección persistente de BIOS: el pájaro temprano atrapa el gusano" . Phrack . 66 (7) . Consultado el 13 de noviembre de 2010 .
- ^ Ric Vieler (2007). Rootkits profesionales . John Wiley e hijos. pag. 244. ISBN 9780470149546.
- ^ Matrosov, Aleksandr; Rodionov, Eugene (25 de junio de 2010). "TDL3: ¿El rootkit de todos los males?" (PDF) . Moscú: ESET . pag. 3. Archivado desde el original (PDF) el 13 de mayo de 2011 . Consultado el 17 de agosto de 2010 .
- ^ Matrosov, Aleksandr; Rodionov, Eugene (27 de junio de 2011). "La evolución de TDL: conquistar x64" (PDF) . ESET . Archivado desde el original (PDF) el 29 de julio de 2015 . Consultado el 8 de agosto de 2011 .
- ^ Brumley, David (16 de noviembre de 1999). "Invisible Intruders: rootkits en la práctica" . USENIX . USENIX .
- ^ a b c d e Davis, Michael A .; Bodmer, Sean; LeMasters, Aaron (3 de septiembre de 2009). "Capítulo 10: Detección de rootkit" (PDF) . Hackeo de malware y rootkits expuestos: secretos y soluciones de seguridad de malware y rootkits . Nueva York: McGraw Hill Professional. ISBN 978-0-07-159118-8.
- ^ Trlokom (5 de julio de 2006). "Derrotar a los rootkits y keyloggers" (PDF) . Trlokom. Archivado desde el original (PDF) el 17 de julio de 2011 . Consultado el 17 de agosto de 2010 . Cite journal requiere
|journal=
( ayuda ) - ^ Dai Zovi, Dino (2011). "Kernel Rootkits" . Archivado desde el original el 10 de septiembre de 2012 . Consultado el 13 de septiembre de 2012 . Cite journal requiere
|journal=
( ayuda ) - ^ "Zeppoo" . SourceForge . 18 de julio de 2009 . Consultado el 8 de agosto de 2011 .
- ^ Cogswell, Bryce; Russinovich, Mark (1 de noviembre de 2006). "RootkitRevealer v1.71" . Microsoft . Consultado el 13 de noviembre de 2010 .
- ^ "Rootkit y Anti-rootkit" . Consultado el 13 de septiembre de 2017 .
- ^ "Sophos Anti-Rootkit" . Sophos . Consultado el 8 de agosto de 2011 .
- ^ "BlackLight" . F-Secure . Consultado el 8 de agosto de 2011 .
- ^ "Radix Anti-Rootkit" . usec.at . Consultado el 8 de agosto de 2011 .
- ^ "GMER" . Consultado el 8 de agosto de 2011 .
- ^ Harriman, Josh (19 de octubre de 2007). "Una metodología de prueba para la eficacia de eliminación de rootkit" (PDF) . Dublín, Irlanda: Symantec Security Response. Archivado desde el original (PDF) el 7 de octubre de 2009 . Consultado el 17 de agosto de 2010 . Cite journal requiere
|journal=
( ayuda ) - ^ Cuibotariu, Mircea (12 de febrero de 2010). "Tidserv y MS10-015" . Symantec . Consultado el 19 de agosto de 2010 .
- ^ "Problemas de reinicio después de instalar MS10-015" . Microsoft . 2010-02-11 . Consultado el 5 de octubre de 2010 .
- ^ "Detección de Rootkit Strider GhostBuster" . Investigación de Microsoft. 2010-01-28. Archivado desde el original el 29 de julio de 2012 . Consultado el 14 de agosto de 2010 .
- ^ "Firma y verificación de código con Authenticode" . Microsoft . Consultado el 15 de septiembre de 2008 .
- ^ "Detención de rootkits en el borde de la red" (PDF) . Beaverton, Oregón: Trusted Computing Group . Enero de 2017 . Consultado el 11 de julio de 2008 .
- ^ "Especificación de implementación específica de TCG PC, versión 1.1" (PDF) . Trusted Computing Group . 2003-08-18 . Consultado el 22 de noviembre de 2010 .
- ^ "Cómo generar un archivo de volcado por caída completo o un archivo de volcado por caída del kernel mediante el uso de un NMI en un sistema basado en Windows" . Microsoft . Consultado el 13 de noviembre de 2010 .
- ^ Seshadri, Arvind; et al. (2005). "Pioneer: verificar la integridad del código y hacer cumplir la ejecución de código sin tapujos en sistemas heredados". Universidad Carnegie Mellon . Cite journal requiere
|journal=
( ayuda ) - ^ Dillard, Kurt (3 de agosto de 2005). "Batalla de rootkit: revelador de rootkit vs defensor de hacker" .
- ^ "La herramienta de eliminación de software malintencionado de Microsoft Windows ayuda a eliminar software malintencionado específico y predominante de equipos que ejecutan Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008 o Windows XP" . Microsoft . 2010-09-14.
- ^ Hultquist, Steve (30 de abril de 2007). "Rootkits: ¿La próxima gran amenaza empresarial?" . InfoWorld . Consultado el 21 de noviembre de 2010 .
- ^ "Vigilancia de seguridad: rootkits por diversión y beneficio" . Reseñas de CNET. 2007-01-19. Archivado desde el original el 8 de octubre de 2012 . Consultado el 7 de abril de 2009 .
- ^ Bort, Julie (29 de septiembre de 2007). "Seis formas de luchar contra las botnets" . PCWorld . San Francisco: PCWorld Communications . Consultado el 7 de abril de 2009 .
- ^ Hoang, Mimi (2 de noviembre de 2006). "Manejo de las duras amenazas de seguridad actuales: rootkits" . Symantec Connect . Symantec . Consultado el 21 de noviembre de 2010 .
- ^ a b Danseglio, Mike; Bailey, Tony (6 de octubre de 2005). "Rootkits: el oscuro ataque de los piratas informáticos" . Microsoft.
- ^ Messmer, Ellen (26 de agosto de 2006). "Expertos divididos sobre detección y eliminación de rootkits" . NetworkWorld.com . Framingham, Mass .: IDG . Consultado el 15 de agosto de 2010 .
- ^ Skoudis, Ed; Zeltser, Lenny (2004). Malware: lucha contra el código malicioso . Prentice Hall PTR. pag. 335. ISBN 978-0-13-101405-3.
- ^ Hannel, Jeromey (23 de enero de 2003). "Linux RootKits para principiantes: desde la prevención hasta la eliminación" . Instituto SANS . Archivado desde el original (PDF) el 24 de octubre de 2010 . Consultado el 22 de noviembre de 2010 .
Otras lecturas
- Blunden, Bill (2009). El arsenal de Rootkit: Escape y evasión en los rincones oscuros del sistema . Wordware. ISBN 978-1-59822-061-2.
- Hoglund, Greg; Mayordomo, James (2005). Rootkits: subvirtiendo el kernel de Windows . Addison-Wesley Professional. ISBN 978-0-321-29431-9.
- Grampp, FT; Morris, Robert H., Sr. (octubre de 1984). "El sistema UNIX: seguridad del sistema operativo UNIX". Revista técnica de AT&T Bell Laboratories . 62 (8): 1649–1672. doi : 10.1002 / j.1538-7305.1984.tb00058.x .
- Kong, Joseph (2007). Diseño de rootkits BSD . Sin prensa de almidón. ISBN 978-1-59327-142-8.
- Veiler, Ric (2007). Rootkits profesionales . Wrox. ISBN 978-0-470-10154-4.
enlaces externos
- Medios relacionados con rootkits en Wikimedia Commons