
Si desea aprender cómo detectar rootkits en diferentes sistemas operativos y cómo prevenirlos, ha venido al lugar correcto.
Un rootkit es una pieza de malware furtiva y mortal que los piratas informáticos utilizan para obtener el control total de una computadora o red. Usando rootkits, los atacantes pueden manipular y robar fácilmente datos del sistema.
Los rootkits pueden aparecer como una sola pieza de software, pero generalmente son un conjunto de herramientas que brindan a los atacantes acceso administrativo no autorizado a un sistema objetivo mientras ocultan activamente su existencia.
Una vez que el rootkit se coloca en el sistema de alguna manera, el atacante podrá ejecutar archivos remotos y cambiar la configuración del sistema del host. La forma más fácil de identificar una infección de rootkit en un sistema o servidor es ejecutar un análisis de rootkit.
Empecemos.
¿Cómo detectar rootkits en el sistema?
Detectar rootkits manualmente en una computadora o servidor no es fácil. Los rootkits siempre se disfrazan como otra aplicación o archivo. Por lo tanto, detectar su presencia es un desafío. Sin embargo, existen herramientas de línea de comandos, software y métodos que pueden detectar automáticamente los rootkits en varios sistemas operativos.
ventanas
Para Windows, no existe una herramienta de línea de comandos para detectar rootkits.Sin embargo, una poderosa y exhaustiva aplicación de escaneo llamada GMER Muy eficaz para detectar e incluso eliminar rootkits en sistemas Windows.
La herramienta busca en todo el sistema hilos ocultos, claves de registro y otros procesos ocultos. Realice todo tipo de análisis, como comprobaciones de comportamiento, firma e integridad para detectar y eliminar rootkits.
Esta aplicación es buena para detectar todo tipo de rootkits, como rootkits de modo kernel, aplicación, memoria y gestor de arranque. Funciona con todos los principales sistemas operativos de Windows.
Sistemas operativos Linux y Mac
En todas las distribuciones de Linux y Mac OS, puede detectar rootkits fácilmente usando chkrootkit
y rkhunter
herramienta de línea de comandos.
Usando chkrootkit
chkrootkit Busque troyanos, malware y otros tipos de códigos maliciosos en el sistema binario de la máquina. Busca cambios realizados por rootkits en archivos binarios ejecutables del sistema. chkrootkit no está preinstalado en las distribuciones de Linux.
La herramienta es fácil de usar y se puede instalar con el siguiente comando:
sudo apt-get install chkrootkit
O también puedes instalarlo clonando repositorio Git.
git clone https://github.com/Magentron/chkrootkit.git
Luego, navegue a ese directorio y ejecute chkrootkit.
./chkrootkit
Este comando inicia la búsqueda de rootkits en el sistema. Puede usar el comando de ayuda para obtener más instrucciones sobre el uso de esta herramienta.
┌──(root💀kali)-[/home/geekflare/chkrootkit]
└─# ./chkrootkit -help
Usage: ./chkrootkit [options] [test ...]
Options:
-h show this help and exit
-V show version information and exit
-l show available tests and exit
-d debug
-q quiet mode
-x expert mode
-r dir use dir as the root directory
-p dir1:dir2:dirN path for the external commands used by chkrootkit
-n skip NFS mounted dirs
Esta herramienta se utiliza principalmente para el análisis de firmas y la verificación de integridad para rastrear rootkits en un sistema o servidor.
usar rkhunter
Alternativamente, existe otra herramienta de línea de comandos para encontrar rootkits en las distribuciones de Linux.Es decir rkhunter
La herramienta también puede detectar exploits remotos y puertas traseras en el sistema. Simplemente instale esta herramienta con el siguiente comando.
$ sudo apt-get install rkhunter
El siguiente paso es ejecutar rkhunter
Se utiliza para detectar puertas traseras y rootkits.
$ rkhunter -c
Realiza una búsqueda y por defecto da un estado. Si hay algún problema, se indicará en rojo.
Esta es una herramienta de análisis forense perfecta, ya que realiza pruebas de red adicionales, comprobaciones de módulos del kernel y otras pruebas. chrootkit
ciertamente no.
La herramienta es adecuada para el análisis de comportamiento, el análisis de firmas y la detección de rootkits condicionados al lanzamiento en diferentes medios.
Siempre asegúrese de actualizar chkrootkit
y rkhunter
La base de datos de herramientas antes de realizar el escaneo. Solo entonces podrá detectar el último rootkit que se haya lanzado actualmente. Para hacerlo, asegúrese de que su sistema Linux esté actualizado con los últimos parches usando los siguientes comandos.
$ sudo apt update && sudo apt upgrade
Herramienta de eliminación de rootkits
Las aplicaciones y herramientas de eliminación de rootkits que se enumeran a continuación son fáciles de usar y eficaces. Estas herramientas pueden detectar y eliminar automáticamente los rootkits del sistema.
#1. Herramienta de análisis de rootkits de Avast Detectar y eliminar rootkits de los escaneos de firmas del sistema es muy poderoso. El análisis de volcado de memoria y la búsqueda de memoria del sistema son algunas de las características. El programa también realiza un seguimiento de todas las llamadas de biblioteca DLL (Biblioteca de enlace dinámico) importadas.
Cuenta con un completo sistema de informes que le permite ver los resultados de escaneo actuales y anteriores e informes de alerta por correo electrónico después de cada escaneo.
No solo computadoras, también puede usar Avast para eliminar rootkits de dispositivos móviles Android o iOS.
#2. Bytes de malware Evite que rootkits, adware, spyware y otras amenazas infecten su computadora. El programa verifica la integridad de la memoria del kernel y alerta al usuario sobre cualquier problema potencial. Le permite escanear su sistema en busca de rootkits con solo un clic. Esto también lo mantendrá seguro en línea mientras mantiene su computadora funcionando sin problemas.
#3. Linnís Ser una excelente herramienta de auditoría de seguridad de sistemas Linux y BSD. Audita varios elementos de seguridad y configuración del sistema con gran detalle. Lynis puede detectar problemas de seguridad como rootkits y puertas traseras, así como fallas de configuración.
No solo identifica fallas, sino que también proporciona soluciones, como qué archivo eliminar y cómo evitar la reinfección.
#4. Zorro de malware Utilice su biblioteca de rootkits basada en la nube; comprueba el sistema en busca de todo tipo de rootkits.Unaavanzado rootkit, Semejante como Los keyloggers también pueden ser detectados. Detecta y elimina todo tipo de rootkits y cierra cualquier puerta trasera que los piratas informáticos puedan usar para acceder a su computadora. Su base de datos también se actualiza periódicamente para garantizar una seguridad óptima.
#5. Sophos es una herramienta útil para detectar y eliminar rápidamente los rootkits. La herramienta utiliza principalmente análisis de comportamiento (examina el comportamiento de cada archivo y aplicación), si algún archivo o programa se comporta como un rootkit, se eliminará de inmediato. Incluso protege las claves de registro y las ubicaciones de los archivos contra la reinfección.
en conclusión
Instale un software antimalware sofisticado y potente en su computadora y manténgase enfocado al abrir archivos adjuntos y correos electrónicos desconocidos. Descargue archivos y programas solo de fuentes confiables. La mayor protección contra los rootkits es configurar un proceso de copia de seguridad automático y encriptado para el almacenamiento en la nube.
Si el rootkit ha infectado gravemente su sistema, la única forma de eliminarlo es reinstalar el sistema operativo.
También podría estar interesado en conocer las herramientas que analizan los servidores Linux en busca de malware y vulnerabilidades de seguridad.