Cómo detectar los rootkits en Windows 10 (Guía detallada)

Los rootkits son utilizados por los hackers para ocultar malware persistente y aparentemente indetectable dentro de su dispositivo que robará silenciosamente datos o recursos, a veces en el transcurso de varios años. También pueden utilizarse como registradores de teclas, en los que se vigilan las pulsaciones de teclas y las comunicaciones, proporcionando al usuario información sobre su privacidad.

Este método particular de piratería informática tuvo más relevancia antes de 2006, antes de que Microsoft Vista exigiera a los vendedores firmar digitalmente todos los controladores de ordenador. La protección de parches del núcleo (KPP) hizo que los escritores de malware cambiaran sus métodos de ataque y sólo recientemente, a partir de 2018, con la operación de fraude publicitario de Zacinlo, los rootkits volvieron a ser el centro de atención.

Los rootkits anteriores a 2006 se basaban específicamente en sistemas operativos. El caso de Zacinlo, un rootkit de la familia de malware Detrahere, nos dio algo aún más peligroso en forma de un rootkit basado en un firmware. A pesar de ello, los rootkits sólo representan alrededor del uno por ciento de todo el malware que se produce anualmente.

Aun así, debido al peligro que pueden presentar, sería prudente entender cómo funciona la detección de los rootkits que pueden haberse infiltrado ya en su sistema.

Detección de Rootkits en Windows 10 (A fondo)

Zacinlo había estado en juego durante casi seis años antes de ser descubierto apuntando a la plataforma Windows 10. El componente rootkit era altamente configurable y se protegía a sí mismo de los procesos que consideraba peligrosos para su funcionalidad y era capaz de interceptar y descifrar las comunicaciones SSL.

Cifraba y almacenaba todos sus datos de configuración en el Registro de Windows y, mientras Windows se apagaba, se reescribía a sí mismo de la memoria al disco con un nombre diferente y actualizaba su clave de registro. Esto le ayudó a evadir la detección de su software antivirus estándar.

Esto demuestra que un software antivirus o antimalware estándar no es suficiente para detectar los rootkits. Sin embargo, hay algunos programas antimalware de primer nivel que le alertarán de las sospechas de un ataque de rootkit.

Los 5 atributos clave de un buen software antivirus

La mayoría de los principales programas antivirus de hoy en día realizan estos cinco notables métodos para detectar rootkits.

  • Análisis basado en firmas – El software antivirus comparará los archivos registrados con las firmas conocidas de los rootkits. El análisis también buscará patrones de comportamiento que imiten ciertas actividades operativas de los rootkits conocidos, como el uso agresivo de los puertos.
  • Detección de intercepción – El sistema operativo Windows emplea tablas de puntero para ejecutar comandos que se sabe que incitan a un rootkit a actuar. Dado que los rootkits intentan reemplazar o modificar cualquier cosa considerada una amenaza, esto hará que su sistema se dé cuenta de su presencia.
  • Comparación de datos de fuentes múltiples – Los rootkits, en su intento de permanecer ocultos, pueden alterar ciertos datos presentados en un examen estándar. Los resultados devueltos de las llamadas de sistema de alto y bajo nivel pueden delatar la presencia de un rootkit. El software también puede comparar la memoria de proceso cargada en la RAM con el contenido del archivo en el disco duro.
  • Comprobación de integridad – Cada biblioteca de sistema posee una firma digital que se crea en el momento en que el sistema se considera “limpio”. Un buen software de seguridad puede comprobar las bibliotecas por cualquier alteración del código usado para crear la firma digital.
  • Comparaciones de registro – La mayoría de los programas de software antivirus los tienen en un horario preestablecido. Un archivo limpio se comparará con un archivo del cliente, en tiempo real, para determinar si el cliente es o contiene un ejecutable no solicitado (.exe).

Realizando Escaneo de Raíz

Realizar una exploración de rootkit es el mejor intento para detectar una infección de rootkit. La mayoría de las veces no se puede confiar en que su sistema operativo identifique un rootkit por sí solo y supone un reto para determinar su presencia. Los rootkits son espías maestros, que cubren sus huellas en casi todos los momentos y son capaces de permanecer ocultos a plena vista.

Si sospecha que se ha producido un ataque de un virus rootkit en su máquina, una buena estrategia de detección sería apagar el ordenador y ejecutar el análisis desde un sistema limpio conocido. Una forma segura de localizar un rootkit dentro de su máquina es a través de un análisis de volcado de memoria. Un rootkit no puede ocultar las instrucciones que le da a su sistema mientras las ejecuta en la memoria de la máquina.

Usando WinDbg para el análisis de malware

Microsoft Windows ha proporcionado su propia herramienta de depuración multifuncional que puede utilizarse para realizar escaneos de depuración en aplicaciones, controladores o el propio sistema operativo. Depurará el código del núcleo y el código del usuario, ayudará a analizar los volcados de emergencia y examinará los registros de la CPU.

Algunos sistemas Windows vendrán con WinDbg ya incluido. Los que no lo tengan tendrán que descargarlo de la tienda de Microsoft. WinDbg Preview es la versión más moderna de WinDbg, que proporciona visuales más fáciles para los ojos, ventanas más rápidas, secuencias de comandos completas y los mismos comandos, extensiones y flujos de trabajo que el original.

Como mínimo, puedes usar WinDbg para analizar una memoria o un volcado de choque, incluyendo una Pantalla Azul de la Muerte (BSOD). A partir de los resultados, puedes buscar indicadores de un ataque de malware. Si crees que uno de tus programas puede verse obstaculizado por la presencia de malware, o está usando más memoria de la necesaria, puedes crear un archivo de volcado y usar WinDbg para ayudar a analizarlo.

Un volcado de memoria completo puede ocupar un espacio significativo en el disco, por lo que puede ser mejor realizar un volcado en modo kernel o un volcado de memoria pequeña en su lugar. Un volcado en modo kernel contendrá toda la información de uso de memoria del kernel en el momento de la caída. Un volcado de memoria pequeña contendrá información básica sobre diversos sistemas como los controladores, el núcleo y más, pero es diminuto en comparación.

Los pequeños volcados de memoria son más útiles para analizar por qué se ha producido una BSOD. Para detectar los rootkits, una versión completa o del núcleo será más útil.

Creando un archivo de volcado en modo kernel

Un archivo de volcado en modo kernel puede ser creado de tres maneras:

  • Habilitar el archivo de volcado desde el Panel de Control para permitir que el sistema se bloquee por sí mismo
  • Habilitar el archivo de volcado desde el Panel de Control para forzar el sistema a que se bloquee
  • Utiliza una herramienta de depuración para crear una para ti

Iremos con la opción número tres.

Para realizar el archivo de volcado necesario, sólo tienes que introducir el siguiente comando en la ventana de comandos de WinDbg.

Sustituir FileName por un nombre apropiado para el archivo de volcado y el “?” por un f . Asegúrate de que la “f” esté en minúsculas o de lo contrario crearás un tipo diferente de archivo de volcado.

Una vez que el depurador haya seguido su curso (el primer escaneo llevará considerables minutos), se habrá creado un archivo de volcado y podrás analizar tus hallazgos.

Comprender lo que está buscando, como el uso de memoria volátil (RAM), para determinar la presencia de un rootkit requiere experiencia y pruebas. Es posible, aunque no recomendado para un principiante, probar las técnicas de descubrimiento de malware en un sistema vivo. Para ello, se necesita de nuevo experiencia y un conocimiento profundo del funcionamiento de WinDbg para no desplegar accidentalmente un virus vivo en su sistema.

Hay formas más seguras y fáciles para los principiantes de descubrir a nuestro enemigo bien escondido.

Métodos de escaneo adicionales

La detección manual y el análisis de comportamiento son también métodos fiables para detectar los rootkits. Intentar descubrir la ubicación de un rootkit puede ser un gran dolor, así que, en lugar de apuntar al propio rootkit, puede buscar comportamientos similares a los de un rootkit.

Puedes buscar rootkits en los paquetes de software descargados utilizando las opciones de instalación avanzadas o personalizadas durante la instalación. Lo que tendrás que buscar son los archivos desconocidos que aparecen en los detalles. Estos archivos deben descartarse, o bien puedes realizar una búsqueda rápida en línea para encontrar cualquier referencia a software malicioso.

Los cortafuegos y sus informes de registro son una forma increíblemente efectiva de descubrir un rootkit. El software le notificará si su red está bajo escrutinio, y debería poner en cuarentena cualquier descarga irreconocible o sospechosa antes de la instalación.

Si sospecha que un rootkit puede estar ya en su máquina, puede bucear en los informes de registro del cortafuegos y buscar cualquier comportamiento fuera de lo normal.

Revisando los informes de registro del cortafuegos

Usted querrá revisar sus informes actuales de registro del cortafuegos, haciendo una aplicación de código abierto como Espía de Tráfico IP con capacidades de filtrado de registro del cortafuegos, una herramienta muy útil. Los informes le mostrarán lo que es necesario ver en caso de que ocurra un ataque.

Si tiene una gran red con un firewall de filtrado de salida independiente, el Espía de Tráfico IP no será necesario. En cambio, debería poder ver los paquetes de entrada y salida de todos los dispositivos y estaciones de trabajo de la red a través de los registros del cortafuegos.

Ya sea que esté en un hogar o en un pequeño negocio, puede utilizar el módem proporcionado por su ISP o, si posee uno, un firewall personal o un router para obtener los registros del firewall. Podrás identificar el tráfico de cada dispositivo conectado a la misma red.

También puede ser beneficioso habilitar los archivos de registro del Firewall de Windows. Por defecto, el archivo de registro está desactivado, lo que significa que no se escribe ninguna información o dato.

  • Para crear un archivo de registro, abra la función Ejecutar pulsando la tecla de Windows + R .
  • Escriba wf.msc en el cuadro y pulse Enter .

  • En la ventana de Firewall y Seguridad Avanzada de Windows, resalta “Firewall de Windows Defender con Seguridad Avanzada en la Computadora Local” en el menú de la izquierda. En el menú del extremo derecho, bajo “Acciones”, haga clic en Propiedades .

  • En la nueva ventana de diálogo, navegue hasta la pestaña “Perfil privado” y seleccione Personalizar , que se encuentra en la sección “Registro”.

  • La nueva ventana le permitirá seleccionar el tamaño del archivo de registro que debe escribir, dónde desea que se envíe el archivo y si debe registrar sólo los paquetes perdidos, la conexión exitosa o ambos.

  • Los paquetes caídos son aquellos que el Firewall de Windows ha bloqueado en su nombre.
  • Por defecto, las entradas de registro del Firewall de Windows sólo almacenan los últimos 4MB de datos y se pueden encontrar en el %SystemRoot%System32LogFilesFirewallPfirewall.log
  • Tenga en cuenta que el aumento del límite de tamaño del uso de datos para los registros puede afectar al rendimiento del equipo.
  • Pulse OK cuando termine.
  • A continuación, repite los mismos pasos que acabas de hacer en la pestaña “Perfil Privado”, sólo que esta vez en la pestaña “Perfil Público”.

    • Ahora se generarán registros para las conexiones públicas y privadas. Puedes ver los archivos en un editor de texto como el Bloc de Notas o importarlos a una hoja de cálculo.
    • Ahora puedes exportar los archivos de registro a un programa analizador de bases de datos como IP Traffic Spy para filtrar y ordenar el tráfico para una fácil identificación.

Estén atentos a cualquier cosa fuera de lo común en los archivos de registro. Incluso el más mínimo fallo del sistema puede indicar una infección de rootkit. Algo parecido a un uso excesivo de la CPU o del ancho de banda cuando no se está ejecutando nada demasiado exigente, o en absoluto, puede ser una pista importante.

Ex especialista en comunicaciones de TI del ejército de los EE.UU. que comenzó su carrera como bloguero en línea en 2016. Joseph tiene más de 10 años de experiencia en la industria de la tecnología de la información como analista y experto en comunicaciones. Es un búho nocturno y un ávido consumidor de Red Bull que pasa la mayor parte de su tiempo de inactividad cautivado por los juegos en línea y la construcción de sitios web. Lee la biografía completa de Joseph

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *