Cómo identificar, evitar y eliminar rootkits en Windows 10

0
35

Los atacantes usan rootkits para ocultar malware en un dispositivo de manera que le permita persistir sin ser detectado a lo largo del tiempo, a veces durante años. Durante ese tiempo, puede robar datos o recursos, o supervisar comunicaciones. Los rootkits basados en sistemas operativos ya son lo suficientemente aterradores, pero los rootkits de firmware lo son aún más. Ambos buscan persistir, esconderse y evadir procesos y procedimientos para erradicarlos.

Los rootkits del kernel o del sistema operativo fueron una amenaza peligrosa para las computadoras durante muchos años. Luego, Microsoft hizo un cambio importante en el sistema operativo con Microsoft Vista en el 2006. Requiere que las proveedoras firmen los controladores digitalmente. Esto causó no solo problemas con los controladores de impresora, sino que, lo que es más importante, hizo que los creadores de malware cambiaran sus métodos de ataque.

La Kernel Patch Protection (KPP) requirió que los autores de malware superaran un requisito de firma digital. Esto significaba que solo los atacantes más avanzados utilizaban rootkits como parte de su payload. Durante muchos años, los rootkits pasaron de ser muy utilizados a solo ser vistos en menos del 1% de la producción de malware.

El fraude publicitario de Zacinlo
Luego, en junio del 2018, la operación de fraude publicitario de Zacinlo salió a la luz y nos hizo preocuparnos una vez más por el riesgo de los rootkits. Como señaló la investigación de Bitdefender, este malware basado en rootkit ha estado en acción durante seis años, pero recientemente se enfocó en la plataforma Windows 10, con un cambio clave: usó un controlador firmado digitalmente para evitar las protecciones de Windows 10. Los investigadores encontraron que el 90% de las muestras ejecutaban Windows 10.

Los rootkits, por definición, hacen todo lo posible para asegurarse de persistir cuando alguien ejecuta métodos de limpieza básicos en un sistema operativo, e inyectar el malware en un controlador firmado de Windows 10 significaba que eso era exactamente lo que podía hacer el malware Zacinlo. Bitdefender enumera estos componentes de Zacinlo:

·       Un controlador de rootkit que se protege a sí mismo, así como a sus otros componentes. Puede detener los procesos que se consideran peligrosos para la funcionalidad del adware y, simultáneamente, protege el adware para que no se detenga o se elimine.

·       Capacidades del tipo ‘hombre en el navegador’ que interceptan y descifran las comunicaciones SSL. Esto permite que el adwareinyecte código JavaScript personalizado en las páginas web visitadas por el usuario.

De acuerdo con Bitdefender, el componente de rootkit de Zacinlo es altamente configurable y almacena todos los datos de configuración encriptados dentro del Registro de Windows. Mientras Windows está apagado, el rootkit se reescribe desde la memoria al disco bajo un nombre diferente y actualiza su clave de registro. Así es como evade la detección realizada por técnicas normales de antivirus.

Cómo detectar malware rootkit en Windows 10
A menudo, la mejor manera de determinar si una máquina está infectada por un rootkit es revisar los paquetes TCP/IP salientes de un dispositivo probablemente afectado. Si tiene una red grande con un firewall de filtrado de egreso independiente, entonces tiene una herramienta clave a su disposición. Ese firewall le permitirá ver exactamente a qué se conectan sus estaciones de trabajo y dispositivos de red como paquetes salientes en su red.

Su primer objetivo será revisar los informes del firewall y ver si muestra lo que necesita ver en caso de ataque. Si solo ve las direcciones IP en los registros del firewall, agregue datos de autenticación de usuario para que el seguimiento sea más fácil.

Revise sus informes actuales de registro de firewall.

Idealmente, cuenta con una solución de registro que le alerta de tráfico inusual o le permite bloquear el tráfico del firewall desde ubicaciones geográficas. Como los atacantes intentan guardar silencio y no alertarlo sobre sus actividades, es posible que deba investigar la implementación de un sistema formal de gestión de registros (LM, por sus siglas en inglés) e información de seguridad y gestión de eventos (SIEM, por sus siglas en inglés). Los archivos del firewall y de registro de eventos a menudo se eliminan del sistema rápidamente. Para realizar investigaciones forenses o cumplir con las regulaciones, es posible que deba implementar un mecanismo de almacenamiento para el registro.

En una casa o en una pequeña empresa, verifique si puede identificar el tráfico en los registros del servidor de seguridad del módem de su ISP, o su servidor de seguridad/router personal si tiene tal dispositivo. Exporte estos archivos de registro a un programa analizador de base de datos que puede filtrar y clasificar el tráfico.

Como mínimo, un sistema que se comporta mal a menudo puede ser un indicador clave de que un rootkit está instalado. El uso excesivo de la CPU o del ancho de banda de Internet suele ser un indicador de infección. Si bien una máquina con Windows 10 puede tener más actividad en Internet que los sistemas operativos anteriores y es necesario que los paquetes se envíen a la actualización y la telemetría de Windows, aún debe poder determinar cuándo la máquina no se está comportando normalmente.

Si su router no le proporciona buenos consejos sobre lo que están haciendo sus sistemas, es hora de un upgrade. Algunos enrutadores personales incluyen servicios de suscripción para detectar vulnerabilidades e identificar cuándo los dispositivos intentan comunicarse con otras direcciones de Internet. Inicie sesión en su router ahora y revise qué registro tiene y si se puede ajustar y personalizar.

Router Netgear con opciones de personalización en el registro.

Cómo evitar un ataque de malware rootkit
Tiene muchas maneras de evitar que el malware rootkit se instale en sus sistemas. Una forma es tener requisitos de firma de controlador más estrictos. De hecho, el modo Windows S solo permite que se instalen binarios de confianza emitidos por la aplicación de la tienda de Windows en la computadora. Habilitando Windows Defender Device Guard con una licencia de Windows Enterprise también asegurará que tenga protección adicional.

Con el fin de poder realizar una investigación adecuada, instale procesos para permitir que los usuarios finales notifiquen a la mesa de ayuda o al personal de seguridad cuando crean que hay un rootkit en su equipo. A menudo, un usuario bien informado es clave para determinar si una máquina ha sido infectada. Si es un administrador de TI, asegúrese de capacitar a sus usuarios para detectar e informar los síntomas de un rootkit.

Incluso la capacitación básica en concientización sobre seguridad ayudará a prevenir rootkits. La guía de NIST para manejar incidentes de malware en desktops y laptops enumera las siguientes políticas de TI como claves para proteger los sistemas. Los usuarios no deben:

·       Abrir correos electrónicos sospechosos o archivos adjuntos de correo electrónico o hacer clic en hipervínculos de remitentes desconocidos o conocidos, tampoco visitar páginas web que posiblemente tengan contenido malicioso

·       Hacer clic en las ventanas emergentes sospechosas del navegador web

·       Abrir archivos con extensiones de archivo que probablemente estén asociadas con malware(por ejemplo, .bat, .com, .exe, .pif o .vbs)

·       Deshabilitar los mecanismos de control de seguridad de malware (por ejemplo, antivirus de software, software de filtrado de contenido, software de reputación o firewall personal)

·       Usar cuentas de nivel de administrador para la operación de un host regular

·       Descargar o ejecutar aplicaciones desde fuentes no confiables.

Cómo eliminar el malware rootkit
Para limpiar rootkits, dispone de varias opciones. Puede ejecutar el escaneo sin conexión de Windows Defender desde Windows 10. Vaya al Windows Defender Security Center, haga clic en Escaneos avanzados y marque la casilla de radio para habilitar el escaneo sin conexión de Windows Defender. Una vez que reinicie su sistema, este se iniciará bajo el sistema operativo con un inicio limpio de Windows PE y escaneará el disco duro.

 Las herramientas adicionales, como las de Malwarebytes y Kaspersky, realizarán tareas similares. Si una exploración genera sospechas de una infección de rootkit, trátela como un incidente de seguridad. Desconecte el dispositivo sospechoso de la red e Internet inmediatamente.

Si aún no está seguro de si su sistema tiene un rootkit, varios foros útiles pueden guiarle a través del proceso de análisis y detección. Los foros de Bleeping Computer son un excelente lugar para ser asistido en la evaluación de un sistema. Otro canal de ayuda efectivo para las computadoras con Windows 10 es el sitio Ten Forums.

Una vez que determine que su sistema está infectado, reconstruya totalmente la computadora utilizando el software original. Alternativamente, si cuenta con una copia de seguridad completa, puede reiniciar el sistema antes de que se produzca el incidente y monitorear el sistema para detectar signos de reinfección. Como parte de la rutina de limpieza, restablezca la contraseña del sistema y, al mismo tiempo, cambie la contraseña maestra de su software de contraseña maestra.

Los rootkits de firmware requieren un enfoque diferente
Los rootkits incluidos en el firmware de un dispositivo pueden ser más difíciles de recuperar y limpiar. Los rootkits de interfaz de firmware unificado extensible (UEFI, por sus siglas en inglés) se encuentran entre los más aterradores de este tipo. En septiembre del 2018, APT28 fue el primer rootkit UEFI que se encontró en uso activo. El rootkit se integró en la memoria flash de la Interfaz Periférica Serial (SPI, por sus siglas en inglés) de un dispositivo. Eso le dio al rootkit persistencia contra la reinstalación del sistema operativo y el reemplazo del disco duro.

Para protegerse del BIOS, UEFI u otros rootkits de firmware, asegúrese de que el firmware de su sistema esté actualizado. Verifique si su sistema está usando un arranque seguro. El arranque seguro ha existido durante muchos años, y está diseñado para proteger el sistema de pre-arranque asegurando que solo se pueda ejecutar un código de confianza durante este proceso. Para determinar si su sistema Windows 10 se está ejecutando actualmente en un estado de arranque seguro, abra el menú Inicio y escriba “Información del sistema. En la ventana resultante, desplácese hacia abajo y busque el estado de arranque seguro. Si enumera que está activado, entonces su sistema ya se está ejecutando en este modo protegido.

 GitHub enumera muchos recursos para ayudarle a determinar si su firmware es actual. Haga que la actualización del BIOS y el firmware del sistema sean parte del proceso de seguridad de su computadora. Si no dispone de una herramienta de la proveedora de hardware para verificar e instalar automáticamente las actualizaciones de BIOS, es posible que desee instalar una. HP, por ejemplo, tiene una herramienta auxiliar de asistencia HP.

Recuerde que los rootkits no son solo para dispositivos de Windows. También pueden introducirse en dispositivos de la Internet de las cosas (IoT). Si sospecha que un dispositivo se ha convertido en un dispositivo malicioso, restablézcalo a los valores predeterminados de fábrica y asegúrese de que esté actualizado en su firmware. Por último, pero no menos importante, restablezca la contraseña asociada con el nombre de usuario o la cuenta con el dispositivo.

Si se ve afectado por un rootkit, la mejor manera de recuperar es reinstalar completamente el sistema operativo e instalar o reinstalar el firmware. Restablecer contraseñas a las cuentas según sea necesario. La prevención es obviamente más fácil que la cura, pero puede recuperarse siempre que se asegure de tener la capacidad de reinstalar el sistema operativo y las aplicaciones.

Ahora comience por descargar y almacenar una versión limpia de Windows 10 ISO en una unidad flash, y asegúrese de tener aplicaciones clave y códigos de instalación con backup o almacenados en lugares externos a los que se puede acceder en caso de que ocurra una infección.

Susan Bradley, CSOonline.com