Cómo detectar rootkits en Windows 10: una guía completa

Los hackers usan rootkits para ocultar malware persistente y aparentemente indetectable en tu dispositivo, que robará datos o recursos silenciosamente, a veces durante muchos años. También pueden emplearse como keyloggers, que monitorizan tus pulsaciones de teclas y comunicaciones para proporcionar al atacante información confidencial.

Este método de piratería adquirió mayor importancia antes de 2006, antes de que Microsoft Vista exigiera a los proveedores la firma digital de todos los controladores de ordenador. La Protección de Parches de Kernel (KPP) provocó que los autores de malware cambiaran sus métodos de ataque, y solo recientemente, a partir de 2018, con Estafa publicitaria de ZacinloLos programas rootkit han vuelto a ser el centro de atención.

Los rootkits anteriores a 2006 eran específicos de cada sistema operativo. Zacinlo, un rootkit de la familia de malware Detrahere, introdujo algo mucho más peligroso: un rootkit basado en firmware. Sin embargo, los rootkits representan solo alrededor del uno por ciento de todo el malware detectado anualmente.

Sin embargo, dado el peligro que pueden suponer, sería conveniente comprender cómo funciona la detección de rootkits para identificar programas que ya puedan haberse infiltrado en el sistema.

Descubrimiento de rootkits en Windows 10 (en detalle)

Zacinlo ya llevaba casi seis años en funcionamiento cuando fue descubierto, atacando el sistema operativo Windows 10. El componente rootkit era altamente configurable y se protegía de operaciones que consideraba peligrosas para su funcionalidad, además de ser capaz de interceptar y descifrar las comunicaciones SSL.

Cifrará y almacenará todos sus datos de configuración en el registro de Windows. Mientras Windows se apaga, se reescribe de la memoria al disco con un nombre diferente y actualiza su clave de registro. Esto le ayuda a evadir la detección de su software antivirus estándar.

Esto indica que los programas antivirus o antimalware estándar no son suficientes para detectar rootkits. Sin embargo, existen algunos programas antimalware de alto nivel que le alertarán de un posible ataque de rootkit.

Las cinco características esenciales de un buen programa antivirus

La mayoría de los principales programas antivirus actuales implementarán estos cinco métodos destacados para detectar rootkits ocultos.

• Análisis basado en firmas El software antivirus comparará los archivos registrados con firmas de rootkits conocidas. El análisis también buscará patrones de comportamiento que imiten actividades operativas específicas de rootkits conocidos, como el uso intensivo de puertos.
• Divulgación de objeciones El sistema operativo Windows utiliza tablas de índice para ejecutar comandos que activan rootkits. Dado que estos intentan reemplazar o modificar cualquier cosa que perciban como una amenaza, esto alertará al sistema de su presencia.
• Comparación de datos de múltiples fuentes Las raíces ocultas, en un intento de permanecer ocultas, pueden alterar algunos de los datos presentados en un análisis estándar. Los resultados de las llamadas al sistema de alto y bajo nivel pueden revelar la presencia de una raíz oculta. El programa también puede comparar la memoria de proceso cargada en la RAM con el contenido de un archivo en el disco duro.
• Comprobación de seguridad Cada biblioteca cuenta con un sistema de firma digital que se crea cuando el sistema se considera "limpio". Un buen software de seguridad puede escanear las bibliotecas para detectar cualquier cambio en el código utilizado para crear la firma digital.
• Comparaciones de registros La mayoría de los programas antivirus realizan estas comparaciones según un programa predefinido. Un archivo limpio se compara con un archivo de cliente en tiempo real para determinar si este último es un ejecutable no deseado (.exe) o si contiene uno.

Realizar exámenes de raíces ocultas

Realizar un análisis de rootkits es la mejor manera de detectar una infección. A menudo, no se puede confiar en que el sistema operativo identifique un rootkit por sí solo, y detectar su presencia puede ser complicado. Los rootkits son sofisticados programas espía que ocultan sus actividades prácticamente en todo momento y son capaces de permanecer ocultos a simple vista.

Si sospecha que su ordenador está infectado con un virus rootkit, una buena estrategia de detección es apagarlo y ejecutar un análisis desde un sistema limpio. Una forma segura de localizar un rootkit en su ordenador es analizar un volcado de memoria. Un rootkit no puede ocultar las instrucciones que da al sistema mientras se ejecutan en la memoria del ordenador.

Uso de WinDbg para el análisis de malware

Microsoft Windows ofrece su propia herramienta de depuración multifuncional que permite realizar comprobaciones de depuración en aplicaciones, controladores o el propio sistema operativo. Depura errores de código en modo kernel y modo usuario, analiza volcados de memoria y examina los registros de la CPU.

Algunos sistemas Windows vendrán equipados con WinDbg Ya viene incluido. Quienes no lo tengan deberán descargarlo de Microsoft Store. Vista previa de WinDbg Es la última versión de WinDbg, que ofrece imágenes más agradables a la vista, ventanas más rápidas, scripts completos y los mismos comandos, extensiones y flujos de trabajo que la versión original.

Como mínimo, puede usar WinDbg para analizar volcados de memoria o fallos, incluyendo la pantalla azul de la muerte (BSOD). A partir de los resultados, puede buscar indicadores de un ataque de malware. Si sospecha que alguno de sus programas podría estar afectado por malware o utilizando más memoria de la necesaria, puede crear un archivo de volcado y usar WinDbg para analizarlo.

Un volcado de memoria completo puede ocupar mucho espacio en disco, por lo que podría ser mejor realizar un volcado parcial. Modo kernel Como alternativa, se puede usar un volcado de memoria pequeño. Un volcado en modo kernel contendrá toda la información de uso de memoria del kernel en el momento del fallo. Un volcado de memoria pequeño contendrá información básica sobre diferentes sistemas, como los controladores, el kernel y Plus, pero será mucho más pequeño.

Los volcados de memoria pequeños son más útiles para analizar la causa de los BSOD. Para la detección de rootkits, la versión completa o del kernel sería más útil.

Crear un archivo de volcado de modo kernel

Se puede crear un archivo de volcado de modo kernel de tres maneras:

• Habilite el archivo de volcado desde el panel de control para permitir que el sistema se bloquee por sí solo.
• Habilite el archivo de volcado desde el panel de control para forzar el bloqueo del sistema.
• Utilice la herramienta de depuración para crear uno para usted

Elegiremos la opción número tres.

Para realizar el volcado del archivo necesario, solo es necesario ingresar el siguiente comando en la ventana de comandos de WinDbg.

reemplazar NombreArchivo Con un nombre adecuado para el archivo de transcripción y una letra "?" fAsegúrese de que “f” esté en minúsculas; de lo contrario, creará un tipo diferente de archivo de volcado.

Una vez que el depurador haya terminado su trabajo (el primer escaneo tardará varios minutos), se creará un archivo de volcado y podrás analizar los resultados que hayas obtenido.

Comprender qué buscar, como el uso de memoria volátil (RAM), para detectar un rootkit requiere experiencia y pruebas. Es posible, aunque no se recomienda para principiantes, probar técnicas de detección de malware en un sistema real. Sin embargo, para hacerlo, se requiere experiencia y un conocimiento profundo del funcionamiento de WinDbg para evitar la propagación accidental de un virus activo en el sistema.

Hay formas más seguras y amigables para principiantes de descubrir a nuestro enemigo bien escondido.

Métodos de escaneo adicionales

La detección manual y el análisis de comportamiento también son métodos fiables para detectar rootkits. Localizar un rootkit puede ser extremadamente complicado, así que, en lugar de centrarse en el rootkit en sí, puede buscar comportamientos similares.

Puedes buscar rootkits en los paquetes de software descargados usando las opciones de instalación avanzada o personalizada durante la instalación. Lo que deberás buscar son los archivos desconocidos que aparecen en la lista de detalles. Estos archivos deben eliminarse o puedes realizar una búsqueda rápida en línea para detectar indicios de malware.

Los firewalls y sus informes de registro son una forma increíblemente eficaz de detectar rootkits. El software le notificará si su red está siendo auditada y pondrá en cuarentena cualquier descarga irreconocible o sospechosa antes de su instalación.

Si sospecha que ya puede haber un rootkit en su dispositivo, puede revisar los informes de registro de su firewall y buscar cualquier comportamiento inusual.

Revisar los informes de registro del firewall

Necesitará revisar los informes de registro del firewall actual, lo que hace que una aplicación de código abierto como Espía de tráfico IP Gracias a sus funciones de filtrado de registros de firewall, esta herramienta es extremadamente útil. Los informes le mostrarán lo que necesita ver en caso de un ataque.

Si tiene una red grande con un firewall separado para filtrar el tráfico saliente, no será posible. Espía de tráfico IP Esencial. Alternativamente, debería poder ver los paquetes entrantes y salientes de todos los dispositivos y estaciones de trabajo de la red a través de los registros del firewall.

Ya sea que esté en casa o en un pequeño entorno de trabajo, puede usar el módem de su proveedor de servicios de internet (ISP) o, si tiene uno, un firewall o router personal para extraer los registros del firewall. Podrá identificar el tráfico de cada dispositivo conectado a la misma red.

También puede ser útil habilitar los archivos de registro del Firewall de Windows. De forma predeterminada, el archivo de registro está deshabilitado, lo que significa que no se escribe información ni datos.

• Para crear un archivo de registro, abra la función Ejecutar presionando Tecla de Windows + R.
• Tipo wf msc en la caja y presione Entrar .

• En la ventana Firewall de Windows con seguridad avanzada, seleccione "Firewall de Windows Defender con seguridad avanzada en el equipo local" en el menú de la izquierda. En el menú del extremo derecho, en "Acciones", haga clic en Viviendas.

• En la nueva ventana de diálogo, vaya a la pestaña “Perfil privado” y seleccione PersonalizarQue se puede encontrar en la sección “Registro”.

• La nueva ventana le permitirá especificar el tamaño del archivo de registro que se escribirá, a dónde desea enviar el archivo y si desea registrar solo los paquetes descartados, las conexiones exitosas o ambas.

• Los paquetes descartados son aquellos que el Firewall de Windows ha bloqueado en su nombre.
• De forma predeterminada, las entradas de registro del Firewall de Windows almacenarán solo los últimos 4 MB de datos y se pueden encontrar en %SystemRoot%System32Archivos de registroFirewallPfirewall.log
• Tenga en cuenta que aumentar el límite máximo de uso de datos para los registros puede afectar el rendimiento de su computadora.
• Haga clic en OK Cuando termines.
• A continuación, repite los mismos pasos que acabas de seguir en la pestaña “Perfil privado”, pero esta vez en la pestaña “Perfil público”.
  • Ahora se crearán registros para comunicaciones públicas y privadas. Puede ver los archivos en un editor de texto como el Bloc de notas o importarlos a una hoja de cálculo.
  • Ahora puede exportar archivos de registro a un programa de análisis de base de datos como IP Traffic Spy para filtrar y ordenar el tráfico para una fácil identificación.

Esté atento a cualquier cosa inusual en los archivos de registro. Incluso el más mínimo fallo del sistema puede indicar una infección de rootkit oculta. Un uso excesivo de CPU o ancho de banda cuando no se está ejecutando ningún programa exigente, o incluso cuando no se está ejecutando nada, puede ser una pista clave.