® 
Rootkit
Definicion
Un rootkit es un tipo de malware que se oculta en el sistema operativo y otorga al atacante acceso persistente y no detectado al sistema.
Un rootkit es un tipo de malware que se oculta profundamente en el sistema operativo y otorga al atacante acceso permanente y no detectado a un sistema comprometido. Los rootkits manipulan el propio sistema operativo para ocultar su presencia del software de seguridad y los administradores.
Como funciona un rootkit?
Los rootkits operan al nivel mas profundo del sistema operativo. Modifican modulos del kernel, llamadas al sistema y funciones del SO para ocultarse a si mismos y a otro malware. Cuando un administrador consulta la lista de procesos o un antivirus escanea el sistema de archivos, el rootkit intercepta estas solicitudes y filtra sus propios procesos y archivos de los resultados.
Tipos de rootkits
Los rootkits de kernel operan a nivel de kernel y son los mas dificiles de detectar. Los bootkits infectan el cargador de arranque o MBR y se cargan antes del SO. Los rootkits de firmware se instalan en el firmware de hardware como BIOS/UEFI y sobreviven a la reinstalacion del SO. Los rootkits de modo usuario operan a nivel de aplicacion.
Impacto para las organizaciones
Los rootkits son especialmente peligrosos porque proporcionan acceso no detectado a largo plazo. Los grupos APT los utilizan para mantener persistencia. El antivirus tradicional no puede detectar rootkits de forma fiable.
Proteccion
Utilice soluciones EDR con monitorizacion a nivel de kernel. Implemente Secure Boot y seguridad UEFI para prevenir bootkits. Realice comprobaciones regulares de integridad de archivos criticos del sistema. Para rootkits sospechados: analisis offline desde medios externos.
Como ayuda DEFION
DEFION realiza compromise assessments que buscan especificamente indicadores de rootkits y compromisos a largo plazo. El equipo DFIR tiene experiencia en deteccion y eliminacion de rootkits.