microsoft | centro de protección contra...
TRANSCRIPT
Microsoft | Centro de protección
contra malware
Informe de amenazas: rootkits
Junio de 2012
1
Informe de amenazas del Centro de protección contra malware de Microsoft: rootkits
Este documento tiene fines exclusivamente informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPRESA, IMPLÍCITA O PREVISTA POR LEY, CON RESPECTO A LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO.
Este documento se proporciona “tal cual”. Tanto la información como las opiniones
expresadas en este , incluidas las direcciones URL y otras referencias a sitios web de Internet,
pueden cambiar sin previo aviso. Usted acepta el riesgo de utilizarlo.
Copyright © 2012 Microsoft Corporation. Todos los derechos reservados.
Los nombres de los productos y las compañías reales aquí mencionados pueden ser marcas comerciales de sus respectivos propietarios.
Autor
Heather Goudey – Centro de protección contra malware de Microsoft
Colaboradores
Jason Conradt – Tecnologías de protección de Microsoft
Peter Ferrie – Centro de protección contra malware de Microsoft
Joe Johnson – Tecnologías de protección de Microsoft
Scott Molenkamp - Centro de protección contra malware de Microsoft
Hamish O’Dea – Centro de protección contra malware de Microsoft
Oleg Petrovsky – Centro de protección contra malware de Microsoft
Tim Rains – Comunicaciones de Informática de confianza de Microsoft
Jasmine Sesso – Centro de protección contra malware de Microsoft
Jeff Williams – Centro de protección contra malware de Microsoft
Marketing de productos
Ken Malcolmson – Comunicaciones de Informática de confianza de Microsoft
2
Tabla de contenido
Introducción .............................................................................................................................. 3
La finalidad de los rootkits. ................................................................................................... 3
Etimología del rootkit ............................................................................................................ 3
Cómo usan los atacantes los rootkits ........................................................................................ 4
Cómo funcionan los rootkits ................................................................................................. 4
Alcance del problema de los rootkits ........................................................................................ 7
Familias de malware destacadas que utilizan rootkits .............................................................. 8
Protección contra rootkits ....................................................................................................... 11
Orientación general: defensa contra software malintencionado y potencialmente no
deseado ................................................................................................................................... 13
Información adicional .............................................................................................................. 14
3
Introducción
En este informe de amenazas del Centro de protección contra malware de Microsoft (MMPC)
se examina uno de los tipos más insidiosos de malware que amenazan a las organizaciones y a
los particulares: el rootkit. En el informe se examina cómo los atacantes usan rootkits y cómo
funcionan los rootkits en los equipos afectados. También se describen algunas de las familias
de malware más extendidas que usan la funcionalidad de rootkit activamente, antes de
presentar algunas recomendaciones que pueden ayudar a las organizaciones a mitigar los
riesgos de los rootkits.
La finalidad de los rootkits.
Un rootkit, o la funcionalidad de rootkit, permite al malware actuar de forma sigilosa.
Muchas familias modernas de malware deben permanecer durante un período prolongado en
un equipo afectado para que el atacante considere que han servido para su propósito. La
finalidad de muchos tipos de malware consiste en robar datos confidenciales o realizar otro
uso indebido de los recursos, como usar un equipo para efectuar clics fraudulentos1. El
malware necesita permanecer oculto en el equipo afectado para poder supervisar, filtrar,
capturar y sacar a la luz datos valiosos o subvertir los recursos controlados por el atacante. La
funcionalidad de rootkit proporciona la discreción necesaria para que el malware permanezca
oculto mientras ejecuta su carga o acciones como descargar archivos, cambiar
la configuración del equipo, registrar pulsaciones de teclas, etc.
Etimología del rootkit
Merece la pena dedicar un momento a analizar el origen del término “rootkit.” Originalmente,
un rootkit se consideraba un conjunto de herramientas que un atacante podía usar para
obtener la “raíz” (“root”) o el nivel máximo de privilegios reservado normalmente a los
administradores de sistemas, en un sistema UNIX, para después enmascarar los cambios
resultantes. En los últimos años, el término rootkit o “funcionalidad de rootkit” se refiere de
manera más generalizada al malware que usa la funcionalidad de sigilo para ocultarse a sí
mismo y evitar su detección y eliminación.
1 “Haz clic en Fraude: los cibercriminales quieren que te ‘guste’:” en el blog Security Tips & Talk, http://blogs.msdn.com/b/securitytipstalk/archive/2010/07/08/click-fraud-cybercriminals-want-you-to-like-it.aspx
4
Cómo usan los atacantes los
rootkits
Los creadores de malware pueden dedicar un gran número de recursos para equipos, redes y
organizaciones. Con un rootkit, los atacantes esperan proteger y mantener el ataque el mayor
tiempo posible. El valor real de los datos y recursos que persiguen los atacantes convierte su
esfuerzo no solo en una práctica viable, sino también en un ejercicio rentable. Cuanto más
valiosos son los datos, mayor capital invierten los atacantes en las herramientas necesarias
para un ataque dirigido con éxito. El grado de inversión y la importancia de pasar
inadvertidos convierten a los rootkits en una amenaza que no debe subestimarse.
Una vez realizado un ataque, y una vez que el atacante ha establecido una presencia en el
sistema o sistemas objetos del ataque, los síntomas de ese ataque deben enmascararse, al igual
que la presencia continua del malware y otras herramientas que el atacante podría usar. Una
de las formas más eficaces que tiene un atacante para evitar la detección es no proporcionar
ninguna pista del ataque. Si la organización afectada no sabe que ha sido atacada, es muy
improbable que realice una investigación adicional o aplique medidas de seguridad más
estrictas para descubrir el ataque, o que ponga en práctica nuevas medidas de corrección o
protección.
Un rootkit no detectado infiltrado con éxito podría permanecer durante años robando datos y
recursos del sistema afectado. Aunque las tecnologías antivirus son bastante buenas a la hora
de detectar de manera general y proactiva muchos tipos del malware, en la práctica, la
capacidad de detectar nuevo malware depende de la inteligencia. Los extremos a los que son
capaces de llegar los autores de los rootkits para evitar que se descubran sus creaciones
dificulta la capacidad de reunir la inteligencia necesaria. Esto plantea a las organizaciones
preguntas difíciles a las que deben responder. Por ejemplo, ¿cómo puede una organización
proteger de manera eficaz a los usuarios de amenazas que, sin la debida inteligencia, son
simples hipótesis? ¿Y cómo puede la organización determinar correctamente el alcance del
problema sin la debida inteligencia sobre la prevalencia de la amenaza? Un mejor
entendimiento del funcionamiento de los rootkits y de los tipos de malware conocidos que
los utilizan permitirá a la organización responder más eficazmente a estas preguntas.
Cómo funcionan los rootkits
Los rootkits funcionan básicamente introduciéndose ellos mismos en un sistema para moderar
o filtrar las solicitudes dirigidas al sistema operativo. Al moderar las solicitudes de información,
el rootkit puede proporcionar datos falsos o incompletos para dañar totalmente la integridad
del sistema afectado. Esta es la función principal de los rootkits y explica el hecho de que sean
una grave amenaza: una vez instalado el rootkit, ya no es posible confiar en la información
proporcionada por el sistema afectado.
5
Por ejemplo, la solicitud de una lista de procesos en un equipo afectado por un rootkit puede
devolver una lista de todos los procesos en ejecución menos los relacionados con el rootkit u
otros componentes que este protege. Normalmente, el malware usa la funcionalidad de
rootkit para ocultar archivos, modificaciones en el Registro, rastros de conexión de red y
procesos, además de otros posibles indicadores de la presencia del malware.
Hay varios lugares del sistema operativo en los que un rootkit puede introducirse para
realizar su función de filtrado. El “tipo” de rootkit se determina por el lugar en que realiza la
subversión de la ruta de ejecución. Por este motivo, los rootkits reciben generalmente el
nombre de rootkits de modo usuario o rootkits de modo kernel:
Rootkits de modo usuario: Este tipo de rootkit filtra las solicitudes de información que
se originan en las aplicaciones de modo usuario interceptando funciones de la interfaz de
programación de aplicaciones (API). Este tipo de interceptación abarca una serie de
técnicas empleadas para modificar o aumentar el comportamiento de las aplicaciones
interceptando llamadas a funciones, mensajes o eventos transmitidos entre componentes
de software. El código que controla estas llamadas a funciones, eventos o mensajes
interceptados se denomina “gancho” (“hook”). Esta funcionalidad de rootkit es más
accesible a los desarrolladores de malware, ya que escribir código que funcione en modo
usuario es normalmente más sencillo que escribir código en modo kernel2. Sin embargo,
los “ganchos” de modo usuario son también normalmente más fáciles de detectar.
Rootkits de modo kernel: Este tipo de rootkit realiza sus operaciones de filtrado e
interceptación a nivel de kernel. El filtrado en este nivel es más eficaz, pero también es
más difícil que consiga sus objetivos sin dañar el sistema afectado. Una forma de
introducir código en el kernel es usar un controlador de dispositivo. Son varios los
métodos que se utilizan para la interceptación en este nivel, como el gancho insertado
(“inline hooking”), donde el código se modifica in situ, o la modificación de la tabla de
envíos de servicios del sistema para interceptar determinados eventos.
Algunos rootkits más recientes, denominados a menudo rootkits MBR, o “bootkits”,
modifican el registro de arranque maestro (MBR) para controlar el sistema e iniciar el proceso
de carga del rootkit lo más pronto posible en la secuencia de arranque3.
Conceptualmente al menos, es posible adentrarse aún más en la ruta de ejecución, y hay
varias pruebas de concepto de rootkits que lo demuestran. El concepto “Blue Pill”4 se basa en
la idea de usar un hipervisor ligero para crear una instancia del sistema operativo que
interactúe con el usuario afectado. El hipervisor es la plataforma de virtualización específica
del procesador que permite que varios sistemas operativos aislados compartan una sola
plataforma de hardware. El hipervisor podría interceptar y modificar prácticamente todas las
solicitudes de datos, independientemente de su origen, debido a su posición entre el sistema
2 Kasslin, K. et al (2005) Hide n’ seek revisited – Full stealth is back. Virus Bulletin Conference, octubre de 2005 3 Descripción de DOS/Auleron en la enciclopedia de malware de MMPC www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=DOS%2fAlureon 4 http://theinvisiblethings.blogspot.com/2006/06/introducing-blue-pill.html
6
operativo “físico” y el sistema operativo virtual del usuario. Aún más dentro de la ruta de
ejecución cabe la posibilidad de que el firmware afectado intercepte datos a nivel de red5.
Cuanto más profundamente pueda insertarse el rootkit en la ruta de ejecución para
interceptar y filtrar las solicitudes dirigidas al sistema operativo, mayor será su capacidad de
proporcionar invisibilidad al malware. Sin embargo, cuanto mayor sea el nivel de
profundidad del rootkit, más difícil será implementarlo correctamente, y más complicado y
caro será desarrollarlo. Por consiguiente, cuanto más se adentre el rootkit en la ruta de
ejecución, más difícil será eliminarlo. En la siguiente figura se ilustra el posible efecto de un
ataque de rootkit de modo kernel.
Figura 1. Posible efecto de un ataque de rootkit de modo kernel
5 Presentation at Hack.lu:Reversing the Broadccom NetExtreme’s firmware – Blog de Sogeti Esec Lab, http://esec-lab.sogeti.com/dotclear/index.php?post/2010/11/21/Presentation-at-Hack.lu-%3A-Reversing-the-Broacom-NetExtreme-s-firmware
7
Alcance del problema de los
rootkits
Muchas familias modernas de malware utilizan técnicas de rootkit para ocultarse de los
usuarios afectados y evitar su posible detección y eliminación. El uso de la funcionalidad de
sigilo por parte del malware ha aumentado considerablemente en la última década. A pesar
del incremento en el uso de estas técnicas, el MMPC ha reunido datos de análisis sobre
muchas de estas amenazas, y ha empleado gran cantidad de tiempo y esfuerzo en
investigación para ayudar a proteger a los usuarios de la tecnología de estas amenazas.
Sin embargo, hay algunos rootkits, y otro tipo de malware, que se han desarrollado
específicamente para atacar a determinadas organizaciones y que, por tanto, no son
frecuentes en el panorama general de las amenazas, lo que dificulta su detección. No es fácil
determinar el alcance de un determinado tipo de amenaza de malware o rootkit ni el número
de organizaciones a las que afecta. Por este motivo, a pesar de los datos de análisis actuales,
hay pruebas suficientes que indicant que estas amenazas son importantes y que todas las
organizaciones que poseen datos de valor deben tomar las debidas precauciones.
8
Familias de malware destacadas
que utilizan rootkits
Algunas de las familias de malware más predominantes en la actualidad utilizan la
funcionalidad de rootkit. En la lista siguiente se describen algunas de las más importantes:
Win32/Alureon6. Una familia de troyanos de varios componentes implicada en una gran
variedad de actividades subversivas en línea que generan ingresos de varias fuentes para sus
creadores. Win32/Alureon se asocia sobre todo con la moderación de actividades en línea del
usuario afectado para beneficio del atacante. Como tal, los distintos componentes de esta
familia de malware se han usado para:
Modificar los resultados de búsqueda del usuario afectado (práctica que recibe también
el nombre de secuestro de búsquedas).
Redirigir a los usuarios afectados a sitios web que elige el atacante (conocido también
como secuestro de navegadores).
Cambiar la configuración de DNS para redirigir a los usuarios a los sitios elegidos por el
atacante sin conocimiento del usuario afectado.
Descargar y ejecutar archivos arbitrarios, incluidos componentes adicionales y otro
malware.
Proporcionar publicidad ilegítima.
Instalar software de seguridad falso.
Hacer clics en banners (para la publicidad de pago por clic)
Los autores de Win32/Alureon llevan muchos años desarrollando este malware de manera
activa, implementándolo agresivamente y administrándolo profesionalmente. La propagación
de sus componentes, que otras familias de malware emplean a menudo, y el uso de la
funcionalidad de sigilo convierten a esta familia de malware en una amenaza importante.
Alureon ha utilizado varios métodos para ocultar sus procesos y otros cambios en el sistema,
incluidos los siguientes:
Instalar controladores de dispositivos malintencionados que permiten a Alureon “colarse”
en la tabla de envíos de servicios del sistema (SSDT) y en las API de Windows para
interceptar solicitudes del sistema de archivos que le permitan ocultarse y evitar el acceso
6 Descripción de Win32/Auleron en la enciclopedia de malware de MMPC http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fAlureon
9
a archivos, entradas del Registro y procesos con nombres que contienen una determinada
cadena.7
Infectar controladores de dispositivos del sistema existentes con código malintencionado
que permite a Auleron insertarse en la parte del kernel que controla las operaciones en
disco para ocultar archivos y sectores de disco8. Variantes más recientes de Alureon
realizan estas acciones sin infectar los archivos del sistema.
Infectar el registro de arranque maestro (MBR), incluida la infección del MBR en sistemas
operativos Windows de 64 bits, para burlar la directiva de firma del código en modo
kernel del sistema operativo y la protección PatchGuard.
Win32/Rustock9 (para obtener información detallada sobre la familia Rustock, puede
descargar el Informe de amenazas del Centro de protección contra malware de
Microsoft: Rustock, disponible en http://go.microsoft.com/?linkid=9777259). Una familia de
troyanos de puerta trasera habilitados para rootkit formada por varios componentes y
desarrollada inicialmente para ayudar a distribuir correo no deseado a través de un botnet. Un
botnet es una gran red de equipos afectados controlados por un atacante. Descubierto por
primera vez a principios de 2006, Rustock ha evolucionado hasta convertirse en una amenaza
predominante e invasiva. Algunos informes sugieren que, en su máximo apogeo, un total de
un millón de botnets Rustock fueron responsables de casi el 80 por ciento del tráfico de
correo no deseado, enviando más de 2.000 mensajes por segundo.
Rustock empleaba un método complejo para instalar sus controladores con el fin de dificultar
su detección y eliminación.10 Además, los controladores del rootkit interceptaban funciones
del sistema para ocultar el rootkit y sus componentes. Para ello, se modificaba el SSDT a fin
de interceptar los eventos ZwCreateEvent, ZwCreateKey y ZwOpenKey. Este método permitía
a los controladores del rootkit filtrar las solicitudes que contenían el nombre de cada
controlador y devolver el mensaje STATUS_UNSUCCESSFUL en cada coincidencia
encontrada, lo que impedía su detección. Rustock intentaba también ocultar las operaciones
de red y de E/S del disco. Para ello, un controlador de este rootkit interceptaba el conjunto de
APIs de ntoskrnl.exe y ntdll.dll, y después se comunicaba directamente con el sistema de
archivos NTFS y los dispositivos TCP/IP, como NTFS, IP, TCP, UDP, RawIP e
IPMULTICAST.
Microsoft, en colaboración con socios académicos y del sector, empleó una novedosa
combinación de acciones jurídicas y técnicas para controlar el botnet Rustock en marzo de
7 Descripción de Trojan:WinNT/Alureon.C en la enciclopedia de malware de MMPC www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Trojan%3aWinNT%2fAlureon.C 8 Descripción de Virus:Win32/Alureon.A en la enciclopedia de malware de MMPC http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Virus:Win32/Alureon.A 9 Descripción de Win32/Rustock en la enciclopedia de malware de MMPC http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fRustock 10 Blog Uprooting Win32/Rustock – MMPC Threat Research & Response http://blogs.technet.com/b/mmpc/archive/2008/10/18/uprooting-win32-rustock.aspx
10
2011 como parte del proyecto MARS (Microsoft Active Response for Security)11. Esta acción
permitió reunir pruebas que se incluyeron en una investigación criminal en curso12.
Win32/Sinowal13. Una familia de malware de varios componentes que intenta robar datos
confidenciales, como nombres de usuario y contraseña, de diferentes sistemas. Entre otros
intentos se incluye el de robar los detalles de autenticación de una serie de cuentas FTP,
HTTP y de correo electrónico, así como las credenciales usadas para operaciones bancarias en
línea y otras transacciones financieras. Sinowal, concretamente, intenta atacar y reemplazar
los certificados digitales utilizados por el usuario afectado durante transacciones cifradas de
Capa de sockets seguros (SSL), dañando la integridad de estas comunicaciones. Sinowal
puede proporcionar también una funcionalidad de puerta trasera al atacante remoto, que
permite el acceso y control no autorizados de un equipo afectado que el atacante puede usar
para descargar y ejecutar archivos arbitrarios. Los datos confidenciales capturados por
Sinowal también se pueden subir a un sitio web para que los recupere el atacante.
La carga de robo de datos de Sinowal convierte su prolongada presencia en un equipo
afectado en un factor clave del éxito del malware. Sinowal intenta, por tanto, usar la
funcionalidad de ocultación para mantener su presencia y evitar ser detectado mientras reúne
silenciosamente datos y los envía a un atacante remoto. Al igual que Rustock, Sinowal emplea
también un método complejo para instalar sus controladores. El efecto final de estas
maquinaciones es que el MBR se sobrescribe con código malintencionado, y el controlador
principal se escribe al final de la unidad física14. Con estos cambios aplicados, Sinowal puede
controlar el sistema afectado cargando su controlador en una etapa inicial del proceso de
arranque.
Win32/Cutwail15. Un troyano que descarga y ejecuta archivos arbitrarios. Los archivos
descargados se pueden ejecutar desde disco o insertarse directamente en otros procesos.
Aunque la funcionalidad de los archivos descargados varía, Cutwail descarga normalmente
otros componentes que envían correo no deseado. Cutwail emplea también un rootkit y otras
técnicas defensivas para evitar su detección y eliminación.
Cutwail usa un rootkit de modo kernel. Instala varios controladores de dispositivos para
ocultar sus componentes a los usuarios afectados. Sin embargo, Cutwail no solo puede
ocultarse a sí mismo, sino que también puede impeder la eliminación de sus archivos y de las
entradas del Registro. Para ocultar y proteger sus entradas del Registro, Cutwail intercepta las
funciones ZwDeleteValueKey(), ZwEnumerateKey(), ZwEnumerateValueKey(), ZwOpenKey()
y ZwSetValueKey() en el SSDT. Para proteger sus archivos en disco, también implementa un
controlador de filtro del sistema de archivos.
11 Blog Operation b107 – Rustock botnet takedown - MMPC Threat Research & Response http://blogs.technet.com/b/mmpc/archive/2011/03/17/operation-b107-rustock-botnet-takedown.aspx 12 http://blogs.technet.com/b/microsoft_blog/archive/2011/09/22/rustock-civil-case-closed-microsoft-refers-criminal- evidence-to-fbi.aspx 13 Win32/Sinowal en la enciclopedia de malware de MMPC www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fSinowal 14 VirTool:WinNT/Sinowal.A en la enciclopedia de malware de MMPC
www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=VirTool%3aWinNT%2fSinowal.A 15 Win32/Cutwail en la enciclopedia de malware de MMPC www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fCutwail
11
Protección contra rootkits
La forma más eficaz de evitar ser infectados por rootkits es defenderse contra la instalación
del rootkit. Una vez instalado el rootkit, su capacidad de ocultación dificulta enormemente su
detección y eliminación, y las de sus componentes y otros archivos que pudiera haber
descargado. Por este motivo, parece lógico tomar todas las precauciones posibles para evitar
un posible ataque.
Con este objetivo en mente, es recomendable que las organizaciones se aseguren de que su
perímetro virtual es sólido y seguro invirtiendo en tecnologías de protección, como antivirus
y productos de firewall. Para obtener asesoramiento e información adicional sobre cómo
proteger las organizaciones, consulte la sección Managing Risk de Microsoft Security
Intelligence Report - www.microsoft.com/security/sir/strategy/default.aspx#!section_1.
Asegúrese de que las soluciones antivirus adoptan una exhaustiva estrategia de protección
utilizando la detección tradicional basada en firmas, la detección heurística, funciones de
firma dinámicas y ágiles, y supervisión del comportamiento. Asegúrese de que los conjuntos
de firmas se mantienen actualizados, a ser posible mediante un mecanismo de actualizaciones
automáticas. Para obtener más información sobre las tecnologías antimalware, consulte el
documento del MMPC “Introducing Antimalware Technologies”, disponible en
http://go.microsoft.com/?linkid=9776701.
También es necesario examinar y supervisar con sumo cuidado los posibles puntos de
vulnerabilidad en los sistemas, limitar el uso de tecnologías de alto riesgo a los usuarios de la
organización y aplicar las actualizaciones de seguridad que correspondan a todo el software
de la organización.
Las organizaciones también deben proteger a sus empleados dándoles a conocer los riesgos
que entraña el malware y asegurándose de que reciben la formación adecuada sobre
seguridad. Para obtener más información y orientación, consulte el kit de herramientas de
seguridad en Internet para las organizaciones en
www.microsoft.com/security/resources/powerpoint.aspx.
Para aplicar de manera eficaz estas recomendaciones, se aconseja el uso de algún tipo de
sistema de inspección de red (NIS) y sistema de prevención de intrusiones (IPS).
Una vez aplicadas las medidas de protección, es importante poner en práctica un plan de
vigilancia que supervise los sistemas y examine las posibles desviaciones del tráfico y del
comportamiento en los distintos hosts y en toda la red. Incluso en una organización de
pequeño tamaño, esta puede ser una tarea descomunal. Las organizaciones deben identificar
sus activos de gran valor (por ejemplo, la propiedad intelectual valiosa) y diseñar un plan de
supervisión y análisis centrado en estos activos.
12
Si se detecta un posible ataque, hay otras tecnologías especializadas que se pueden usar.
Muchos productos antivirus incluyen tecnología antirootkit especial. Las soluciones antivirus
de Microsoft incluyen una serie de tecnologías diseñadas especialmente para mitigar los
rootkits, como la supervisión dinámica del comportamiento del kernel que detecta y registra
los intentos de modificar el kernel de un sistema afectado, y el análisis directo del sistema de
archivos que facilita la identificación y eliminación de controladores ocultos.
Por último, si se determina que un sistema ha sufrido un ataque, se aconseja usar una
herramienta adicional que permita inicializar el sistema a un entorno válido conocido o de
confianza para que puedan aplicarse las medidas de corrección adecuadas. En este caso,
puede resultar útil la herramienta Sistema independiente de limpieza de Microsoft (parte del
conjunto de herramientas de diagnóstico y recuperación de Microsoft (DaRT)) o Windows
Defender Offline. Arrancar el sistema afectado con un sistema operativo válido conocido que
no esté afectado permitirá a las tecnologías antivirus y a otras herramientas identificar los
componentes de malware que, de no ser así, permanecerían ocultos gracias al rootkit. Esta
técnica puede ser una herramienta eficaz para ayudar a defenderse y recuperarse de un ataque
en el que se han empleado rootkits.
13
Orientación general: defensa
contra software malintencionado
y potencialmente no deseado
La protección eficaz de los usuarios frente al malware requiere un esfuerzo activo de
organizaciones y particulares por mantener actualizadas las defensas antimalware y estar al
tanto de los últimos avances en técnicas de propagación de malware, incluida la ingeniería
social.
Para obtener una mayor orientación, consulte los recursos siguientes en la sección “Mitigating
Risk” del sitio web del Security Intelligence Report:
Promoting Safe Browsing
http://www.microsoft.com/security/sir/strategy/default.aspx#!section_2_3
Protecting Your People
http://www.microsoft.com/security/sir/strategy/default.aspx#!section_4
14
Información adicional
Los siguientes recursos proporcionan una introducción excelente para obtener más
información sobre los rootkits y cómo los autores de malware usan la funcionalidad de
rootkit:
Blunden. B., (2009) The Rootkit Arsenal: Escape and Evasion in the Dark Corners of the
System. Jones & Bartlett
Hoglund, G. and Butler, J. (2006) Rootkits – Subverting the Windows Kernel. Upper Saddle
River: Addison-Wesley
Kasslin, K. et al, (2005) Hide ‘n seek revisited – Full stealth is back. Virus Bulletin
Conference, octubre de 2005
15
One Microsoft Way
Redmond, WA 98052-6399
microsoft.com/mmpc