Malware de rootkit

¿Qué es el malware de rootkit?

El malware de rootkit es una recopilación de software diseñado para proporcionar a los ciberdelincuentes el control de una red informática o aplicación. Una vez activado, el programa malicioso establece un exploit de puerta trasera y puede añadir malware adicional, como ransomware, bots, registradores de pulsaciones o troyanos. Los rootkits pueden permanecer en su sitio durante años dado que es muy difícil detectarlos, en parte debido a su habilidad para bloquear algunos softwares antivirus y de análisis de malware.

Tipos de rootkits

Los rootkits conocidos se pueden clasificar en algunas familias amplias, aunque también hay muchos híbridos. Las familias principales son:

Rootkits de firmware

Un rootkit de firmware ataca al software que ejecuta componentes de hardware específicos almacenándose en el software que se ejecuta durante el proceso de arranque antes de que se inicie el sistema. Son muy sigilosos porque pueden permanecer en el equipo incluso después de reinstalar el sistema operativo.

El uso de rootkits de firmware ha crecido conforme la tecnología se ha ido alejando del software de BIOS codificado y se ha acercado al software de BIOS que se puede actualizar de manera remota. Aquellos sistemas de computación en la nube en los que se instalan varias máquinas virtuales en un único sistema físico también son vulnerables.

Estos son algunos ejemplos de rootkits de firmware:

• Rootkit UEFI
• Rootkit de encubrimiento "cloaker"
• Rootkit de VGA

Rootkits de modo kernel

Un rootkit de modo kernel es un malware sofisticado que puede añadir código nuevo al sistema operativo o eliminar y editar código de él. Es complicado de crear y, si está defectuoso, tendrá un gran impacto sobre el rendimiento del ordenador objetivo. El lado bueno es que un rootkit de kernel defectuoso dejará un rastro que las soluciones antivirus pueden detectar.

Estos son algunos ejemplos de rootkits de modo kernel:

• Spicy Hot Pot
• FU
• Knark

Rootkits de cargador de arranque

Los rootkits de cargador de arranque se inician a la vez que el sistema operativo y atacan el registro de arranque maestro (MBR), que es el primer código que se ejecuta al iniciar un ordenador, o el registro de arranque de volumen (VBR), que contiene el código necesario para iniciar el proceso de arranque o el código para cargar una aplicación o sistema operativo. Al adherirse a uno de estos tipos de registros, un rootkit de cargador de arranque no aparecerá en una vista del sistema de archivos estándar, lo que dificulta que un antivirus o eliminador de rootkits lo detecten.

Entre los ejemplos de rootkits de cargador de arranque se incluyen:

• Stoned Bootkit
• Olmasco
• Rovnix

Rootkits virtualizados

A diferencia de los rootkits de modo kernel, que se inician a la vez que el sistema operativo atacado, un rootkit virtualizado se inicia antes de que lo haga el sistema operativo. Los rootkits virtualizados se ocultan en lo más profundo del equipo y son extremadamente difíciles de eliminar (si no imposibles).

Rootkits de modo usuario

Los rootkits de modo usuario modifican el comportamiento de las interfaces de programación de aplicaciones. Pueden mostrar información falsa a los administradores, interceptar llamadas del sistema, filtrar los resultados de procesos y realizar otras acciones para ocultar su presencia. Sin embargo, como los rootkits de modo usuario atacan a aplicaciones en lugar de a sistemas operativos u otros procesos críticos, dejan un rastro que activa las alertas de un antivirus o un eliminador de rootkits y no son tan complicados de eliminar como otros.

Entre los ejemplos de rootkits de modo usuario se incluyen:

• Vanquish
• Hacker Defender
• Aphex

Rootkits de memoria

Los rootkits de memoria se cargan en la RAM, por lo que persisten solo hasta que esta se borra cuando se reinicia el sistema. Mientras están activos, sus actividades maliciosas consumen los recursos del sistema atacado, reduciendo así el rendimiento de su memoria RAM.

Ejemplo de rootkit: Spicy Hot Pot

CrowdStrike descubrió un uso interesante de un rootkit que toma el control de navegadores para cambiar las páginas de inicio de los usuarios a una página controlada por el ciberdelincuente. Es una estrategia diferente a la de los típicos secuestradores de navegadores, que usan ejecutables o claves de registro maliciosos para cambiar las páginas de inicio de los usuarios.

El rootkit

Este malware, denominado Spicy Hot Pot, carga volcados de memoria de los sistemas de los usuarios a sus servidores de operadores e inserta una capacidad de actualización local que garantiza que el malware permanezca actualizado. Mejorando lo que hacían los anteriores secuestradores de navegadores, Spicy Hot Pot incorpora otro paso para mantener su sigilo: suelta dos controladores de modo kernel en el disco, y estos se instalan durante el proceso de infección del malware.

Estos controladores maliciosos realizan una variedad de funciones. Pueden:

• Evitar que el software de seguridad intercepte sus funciones de retrollamada.
• Recopilar volcados de memoria creados en el sistema del ordenador desde un directorio determinado.
• Permitir al ciberdelincuente que actualice el malware como quiera.
• Interceptar y modificar solicitudes de entrada y salida del usuario.
• Interceptar intentos por parte de los administradores de mostrar los archivos maliciosos, haciendo que parezcan invisibles, hasta para los análisis en busca de rootkits.

Discovery

Spicy Hot Pot quedó expuesto cuando el equipo de CrowdStrike Falcon® Complete™ recibió una alerta de un binario sospechoso que trataba de ejecutarse en un entorno Windows 10 de un cliente. La investigación reveló que el binario estaba ligado a un rootkit de secuestro de navegador. Este rootkit colocó siete ejecutables y dos controladores maliciosos en el sistema del cliente antes de desactivar el modo de suspensión del equipo atacado. Los controladores de kernel que se soltaron en el disco no eran visibles para los usuarios porque el rootkit evitaba que se mostraran los archivos de malware.

Investigación

El equipo de CrowdStrike detectó que este rootkit ya se había observado en 2019 y que había tenido distintas variantes desde entonces. De esta forma, pudieron simular las acciones del malware y, de paso, descubrieron la presencia de una variante que estaba más extendida de lo que lo estaba el rootkit que investigaban. Esta variante tenía una fecha de creación que se remontaba cuatro años atrás, lo que indicaba que Spicy Hot Pot se había basado en una antigua herramienta para descifrar cuyo creador había vuelto a empaquetar y redistribuir.

De los nueve archivos que depositó el rootkit Spicy Hot Pot, ocho incluían certificados de firma diferentes pero emitidos para una sola entidad. Estos certificados de firma tenían fechas de caducidad muy variadas, de hasta 10 años y de solo 1 minuto, pero todos habían vencido. A pesar del hecho de estar caducados, seguían instalados correctamente debido a las excepciones de la aplicación de la firma de controladores.

El equipo de CrowdStrike comparó el primer certificado de firma con un repositorio público de muestras de malware y encontró cientos de ejemplos de malware exclusivo relacionados con Spicy Hot Pot. Esto implicaba que el creador del malware seguía usando estos certificados a su antojo y que probablemente no tenía intención de parar.

Si bien Spicy Hot Pot filtraba las solicitudes de entrada y salida de usuarios para ocultar sus archivos, CrowdStrike Falcon® fue capaz de detectar las actividades de infección programadas en el malware gracias a la telemetría, al tiempo que Falcon Real Time Response (RTR) pudo localizar los controladores de kernel y los binarios depositados en el sistema atacado.

Remediación

Como ocurre con otros rootkits, un usuario no puede detener los controladores de filtro de kernel de Spicy Hot Pot. Un controlador malicioso evita la eliminación de claves de registro, servicios o del propio controlador, por lo que eliminarlo de forma remota puede ser un desafío. Como es habitual, la eliminación del malware de rootkit suele requerir apagar un equipo o reiniciarlo en modo seguro, y nada de eso se puede hacer de forma remota. Sin embargo, CrowdStrike dio con una forma de evitar que Spicy Hot Pot se ejecutara durante el inicio, y eso posibilitó la corrección remota.

Spicy Hot Pot coloca controladores maliciosos en la carpeta WindowsApps. Al cambiar el nombre de la carpeta, los controladores de filtro quedaron expuestos dado que la ruta especificada por los controladores maliciosos ya no existía y, por lo tanto, no podían cargarse. Aquí fue cuando los servicios y las claves de registro asociados con el rootkit Spicy Hot Pot pudieron eliminarse.

Cómo protegerse de los rootkits

Los rootkits se propagan del mismo modo que cualquier malware: correo electrónico, memorias USB, vulnerabilidades, etc. Las empresas deben tomar todas las medidas estándar de protección de endpoints, como pueden ser formaciones sobre concienciación sobre seguridad, programas de gestión de vulnerabilidades y control de dispositivos para proteger sus endpoints. Al seguir estos pasos, se impedirá que algunos ataques de malware penetren en la infraestructura, pero no será posible detenerlos todos ni podrán corregirse todos.

La mayoría de las soluciones de protección de endpoints se centran en el sistema operativo local y las aplicaciones basadas en él. Los avances en esta área, como el aprendizaje automático, la detección y respuesta de endpoints y los análisis de comportamiento, suponen un obstáculo para que los ciberdelincuentes no puedan lograr sus objetivos. Sin embargo, para eludir estas barreras, los atacantes han desviado su atención a las capas informáticas que hay debajo del sistema operativo: el software que ejecuta el hardware. El malware de rootkit está creciendo.

La mejor protección contra el malware de rootkit es una solución de protección de endpoints que utilice tecnologías avanzadas como la inteligencia artificial, la telemetría y las funciones de respuesta en tiempo real que puedan identificar rootkits difíciles de detectar y detenerlos antes de que se ejecuten. Otra función clave es una monitorización continua que se pueda auditar de la BIOS de cada endpoint para frenar los ataques de rootkit de kernel. Con estas funciones, las organizaciones podrán detener los ataques antes de que estos puedan activarse e incluso detectar amenazas inactivas en las capas más profundas de sus sistemas informáticos.