Ha llegado al lugar adecuado si desea aprender a detectar rootkits en diferentes sistemas operativos y las formas de prevenirlos.

Un rootkit es una especie de malware encubierto y mortal que los hackers emplean para hacerse con el control total de un ordenador o una red. Utilizando rootkits, el atacante puede manipular y robar fácilmente los datos del sistema.

Los rootkits pueden aparecer como una única pieza de software, pero normalmente son un conjunto de herramientas que proporcionan a los atacantes acceso administrativo no autorizado al sistema objetivo mientras ocultan activamente su presencia.

Una vez que un rootkit se ha introducido de alguna manera en el sistema, el atacante tendrá la capacidad de ejecutar archivos remotos y cambiar la configuración del sistema de la máquina anfitriona. La forma más sencilla de identificar una infección por rootkit en un sistema o servidor es ejecutar un escaneado de rootkit.

Empecemos.

¿Cómo detectar rootkits en un sistema?

No es fácil detectar manualmente un rootkit en un ordenador o un servidor. Los rootkits siempre permanecen disfrazados bajo la forma de otra aplicación o de un archivo. Así que es todo un reto detectar su presencia. Sin embargo, existen algunas herramientas de línea de comandos, software y métodos para detectar los rootkits en varios sistemas operativos de forma automática.

Windows

En el caso de Windows, no existen herramientas de línea de comandos para detectar rootkits. Sin embargo, una potente y exhaustiva aplicación de escaneo llamada GMER detecta e incluso elimina el rootkit de forma muy eficaz en el sistema windows.

gmer

Esta herramienta busca en todo el sistema hilos ocultos, claves del registro y otros procesos ocultos. Realiza todo tipo de análisis como la comprobación del comportamiento, la firma y la integridad para detectar y eliminar el rootkit.

Esta aplicación es beneficiosa para detectar todos los tipos de rootkit como los rootkits de modo kernel, de aplicación, de memoria y de cargador de arranque. Funciona en todos los principales sistemas operativos Windows.

Linux y Mac OS

En todas las distribuciones de Linux y Mac OS, puede detectar rootkits fácilmente utilizando las herramientas de línea de comandos chkrootkit y rkhunter.

Uso de chkrootkit

chkrootkit busca en profundidad troyanos, malware y otros tipos de códigos maliciosos en el sistema binario de la máquina. Busca los cambios que el rootkit realiza en los binarios ejecutables del sistema. chkrootkit no está preinstalado en la distribución de Linux.

Esta herramienta es fácil de usar y se puede instalar con el siguiente comando:

sudo apt-get install chkrootkit

o también puede instalarlo clonando el repositorio Git.

git clone https://github.com/Magentron/chkrootkit.git

A continuación, navegue hasta ese directorio y ejecute chkrootkit.

./chkrootkit

Este comando inicia la búsqueda de rootkits en el sistema. Puede utilizar el comando help para obtener más instrucciones sobre el uso de esta herramienta.

┌──(root💀kali)-[/home/geekflare/chkrootkit]
└─# ./chkrootkit -help
Utilización: ./chkrootkit [opciones] [prueba ...]
Opciones:
        -h mostrar esta ayuda y salir
        -V mostrar información de la versión y salir
        -l mostrar pruebas disponibles y salir
        -d depurar
        -q modo silencioso
        -x modo experto
        -r dir utilizar dir como directorio raíz
        -p dir1:dir2:dirN ruta para los comandos externos utilizados por chkrootkit
        -n omitir dirs montados en NFS

Esta herramienta trabaja principalmente en el análisis de firmas y la comprobación de la integridad para cazar el rootkit en el sistema o en un servidor.

Uso de rkhunter

Alternativamente, existe otra herramienta de línea de comandos para encontrar rootkits en distribuciones Linux. Se trata de rkhunter. Esta herramienta también puede detectar exploits remotos y puertas traseras en el sistema. Sólo tiene que instalar esta herramienta mediante el siguiente comando.

$ sudo apt-get install rkhunter

El siguiente paso es ejecutar el rkhunter para detectar los backdoors y rootkits.

$ rkhunter -c

Realiza la búsqueda, y el estado se dará por defecto. Si hay algún problema, lo indicará en rojo.

Es una herramienta perfecta para el análisis forense porque realiza pruebas de red adicionales, comprobaciones de módulos del kernel y otras pruebas que chrootkit no realiza.

rkhunter

Esta herramienta trabaja en análisis de comportamiento, análisis de firmas y toma una condición de arranque en diferentes medios para detectar el rootkit.

Asegúrese siempre de actualizar la base de datos de las herramientas chkrootkit y rkhunter antes de realizar la exploración. Sólo así podrá detectar los últimos rootkits que están actualmente en el mercado. Para ello, asegúrese de que su sistema Linux está actualizado con los parches más recientes utilizando el siguiente comando.

$ sudo apt update && sudo apt upgrade

Herramientas de eliminación de rootkits

Las aplicaciones y herramientas de eliminación de rootkits que se enumeran a continuación son sencillas de utilizar y eficaces. Estas herramientas pueden detectar y eliminar automáticamente los rootkits del sistema.

#1. La herramienta Avast Rootkit Scanner es potente para detectar y eliminar rootkits del sistema mediante escaneo de firmas. El análisis de volcado de memoria y la búsqueda en la memoria del sistema son algunas de sus características. Este programa también realiza un seguimiento de todas las llamadas a bibliotecas DLL (Dynamic-Link Libraries) que se importan.

Dispone de un completo sistema de informes que le permite ver los resultados de los análisis actuales y anteriores y enviar informes de alerta por correo electrónico después de cada análisis.

No sólo en un ordenador, también puede eliminar el rootkit de móviles Android o iOS utilizando Avast.

#2. Malware Bytes evita que rootkit, adware, spyware y otras amenazas infecten su ordenador. Este programa examina la integridad de la memoria del núcleo y alerta al usuario de cualquier problema potencial. Le permite escanear su sistema en busca de rootkits con un solo clic. Esto también le mantendrá seguro en línea al tiempo que su ordenador funciona sin problemas.

#3. Lynis es una excelente herramienta de auditoría de seguridad para sistemas Linux y BSD. Audita varios elementos de la seguridad y las configuraciones de su sistema con gran detalle. Lynis puede detectar problemas de seguridad, como rootkits y puertas traseras, así como fallos de configuración.

En lugar de limitarse a identificar los fallos, también proporciona soluciones como qué archivo eliminar y qué hacer para evitar una reinfección.

#4. Malware fox utiliza su biblioteca de rootkits basada en la nube; comprueba el sistema en busca de todo tipo de rootkits.También puede detectar rootkits avanzados ,como keyloggers. Puede detectar y eliminar todo tipo de rootkits y cerrar cualquier puerta trasera que los hackers puedan estar utilizando para acceder a su ordenador. Además, su base de datos se actualiza regularmente para garantizar una seguridad óptima.

#5. Sophos es una práctica herramienta que detecta y elimina los rootkits rápidamente. Esta herramienta utiliza principalmente el análisis de comportamiento ( examina el comportamiento de cada archivo y aplicación ), y si algún archivo o programa actúa de forma similar a los rootkits, será eliminado inmediatamente. Incluso protege las claves del registro y las ubicaciones de los archivos para evitar que se vuelvan a infectar.

Conclusión

Instale un software antimalware sofisticado y potente en su ordenador y esté atento todo el tiempo al abrir archivos adjuntos y correos electrónicos desconocidos. Descargue los archivos y programas sólo de fuentes fiables. La mayor protección contra el rootkit es configurar un proceso de copia de seguridad automático y cifrado en un almacenamiento en la nube.

Si un rootkit ha infectado su sistema muy profundamente, la única forma de eliminarlo es reinstalar el sistema operativo.

Puede que también le interese conocer las herramientas para escanear servidores Linux en busca de malware y fallos de seguridad.