Un rootkit es una colección de software de computadora , generalmente malicioso, diseñado para permitir el acceso a una computadora o a un área de su software que de otro modo no está permitido (por ejemplo, a un usuario no autorizado) y, a menudo, enmascara su existencia o la existencia de otro software. . [1] El término rootkit es un compuesto de " raíz " (el nombre tradicional de la cuenta privilegiada en los sistemas operativos similares a Unix) y la palabra "kit" (que se refiere a los componentes de software que implementan la herramienta). [2] El término "rootkit" tiene connotaciones negativas debido a su asociación con malware . [1]
La instalación del rootkit se puede automatizar o un atacante puede instalarlo después de haber obtenido acceso de root o de administrador. [3] La obtención de este acceso es el resultado de un ataque directo a un sistema, es decir, la explotación de una vulnerabilidad conocida (como la escalada de privilegios ) o una contraseña (obtenida mediante tácticas de cracking o ingeniería social como " phishing "). Una vez instalado, es posible ocultar la intrusión y mantener el acceso privilegiado. El control total sobre un sistema significa que el software existente se puede modificar, incluido el software que de otro modo podría usarse para detectarlo o eludirlo.
La detección de rootkits es difícil porque un rootkit puede subvertir el software que pretende encontrarlo. Los métodos de detección incluyen el uso de un sistema operativo alternativo y confiable , métodos basados en el comportamiento, escaneo de firmas, escaneo de diferencias y análisis de volcado de memoria . La eliminación puede ser complicada o prácticamente imposible, especialmente en los casos en que el rootkit reside en el kernel ; la reinstalación del sistema operativo puede ser la única solución disponible para el problema. Cuando se trata de rootkits de firmware , la eliminación puede requerir el reemplazo de hardware o equipo especializado.
El término rootkit o rootkit originalmente se refería a un conjunto de herramientas administrativas modificadas malintencionadamente para un sistema operativo similar a Unix que otorgaba acceso " root ". [4] Si un intruso pudiera reemplazar las herramientas administrativas estándar en un sistema con un rootkit, el intruso podría obtener acceso a la raíz del sistema y, al mismo tiempo, ocultar estas actividades al administrador legítimo del sistema . Estos rootkits de primera generación eran triviales de detectar mediante el uso de herramientas como Tripwire que no se habían visto comprometidas para acceder a la misma información. [5] [6]Lane Davis y Steven Dake escribieron el primer rootkit conocido en 1990 para el sistema operativo SunOS UNIX de Sun Microsystems . [7] En la conferencia que dio al recibir el premio Turing en 1983, Ken Thompson de Bell Labs , uno de los creadores de Unix , teorizó sobre subvertir el compilador C en una distribución de Unix y discutió el exploit. El compilador modificado detectaría los intentos de compilar el comando Unix y generaría un código alterado que aceptaría no solo la contraseña correcta del usuario, sino también una " puerta trasera " adicional.login" contraseña conocida por el atacante. Además, el compilador detectaría los intentos de compilar una nueva versión del compilador e insertaría los mismos exploits en el nuevo compilador. Una revisión del código fuente del logincomando o el compilador actualizado no revelaría cualquier código malicioso [8] Este exploit era equivalente a un rootkit.
El primer virus informático documentado dirigido a la computadora personal , descubierto en 1986, utilizó técnicas de encubrimiento para ocultarse: el virus Brain interceptó los intentos de leer el sector de arranque y los redirigió a otra parte del disco, donde se encontraba una copia del sector de arranque original. se mantuvo [1] Con el tiempo, los métodos de encubrimiento de virus DOS se volvieron más sofisticados. Las técnicas avanzadas incluían conectar llamadas de interrupción de BIOS INT 13H de disco de bajo nivel para ocultar modificaciones no autorizadas en los archivos. [1]
El primer rootkit malicioso para el sistema operativo Windows NT apareció en 1999: un troyano llamado NTRootkit creado por Greg Hoglund . [9] Le siguió HackerDefender en 2003. [1] El primer rootkit dirigido a Mac OS X apareció en 2009, [10] mientras que el gusano Stuxnet fue el primero en atacar los controladores lógicos programables (PLC). [11]