Tecnologías antirootkit y de corrección

El rootkit es un programa malicioso que aplica diferentes técnicas para ocultar el código y las actividades maliciosas de la detección y contrarresta los intentos de reparación por parte del antivirus. La tecnología antirootkit, parte de la protección con varias capas de última generación de Kaspersky, detecta la infección activa de estos programas de rootkit y corrige los sistemas de este tipo de infección.

En la mayoría de los casos, un rootkit incluye un controlador (o una cadena de controladores), funciones en modo kernel y realiza algunas o todas las siguientes funciones:

• Ocultar los archivos en el almacenamiento (HDD), las claves y los valores del registro de Windows, los procesos en el sistema, los módulos cargados, las regiones de la memoria (en caso de malware que no utilice archivos), las actividades de red, los sectores del disco, además de otros objetos y artefactos
• Contrarrestar la modificación o eliminación del rootkit mediante el antivirus en caso de detección, incluida la restauración de los rootkit modificados
• Proporcionar acceso al kernel del sistema operativo a código/aplicaciones maliciosas (para efectos de finalización de los procesos antivirus), inyección de código malicioso en procesos legítimos, intercepción del tráfico de red (espionaje), intercepción de pulsaciones (keylogging), etc.

Los creadores de malware están interesados en usar su código malicioso durante largos períodos en un host objetivo, incluso en el caso de que se ejecute un software de antivirus. Para esto, deben usar técnicas diferentes para obstaculizar la detección y la corrección de la infección activa. Pueden utilizar métodos documentados y no documentados del sistema operativo. Se sabe que los rootkits utilizan diferentes enfoques de intercepción en el modo de usuario y en el modo kernel, manipulaciones con objetos (DKOM), técnicas de evasión de controladores de filtro y funciones de devolución de llamada, etc. Para admitir persistencia en el sistema que está recibiendo el ataque, los rootkits se deben comenzar a ejecutar en las primeras etapas del arranque del sistema operativo, de modo que infecten los sectores de arranque, como el registro de arranque principal (MBR) y el registro de arranque de volumen (VBR). Los rootkits con esta funcionalidad se denominan bootkits.

Tecnologías antirootkit de Kaspersky

• Buscan infecciones activas en la memoria del sistema operativo
• Analizan todas las posibles ubicaciones utilizadas para la ejecución automática
• Si se detectan infecciones activas, las corrigen y realizan la recuperación en una etapa temprana del arranque del sistema operativo
• Neutralizan las infecciones activas durante la instalación del producto en el sistema infectado

Esta complicada tecnología de protección de varios módulos implementa dos enfoques para la detección y la neutralización de la infección activa: un enfoque exacto y otro genérico. Los productos Kaspersky utilizan ambos enfoques.
Enfoque exacto: los procedimientos de detección y neutralización están destinados a técnicas específicas de rootkit, como el encubrimiento de presencia o medidas para contrarrestar la corrección del antivirus. Este enfoque permite proporcionar protección rápida contra un rootkit para abordar los brotes actuales, lo que permite tener más tiempo para desarrollar un enfoque más genérico.

Enfoque genérico: el antirootkit analiza los procesos activos, los módulos del sistema, la memoria y los objetos de ejecución automática, y proporciona acceso al código del malware a otros componentes del antivirus, como un emulador, el motor de AV, la heurística estática, la heurística basada en el comportamiento con tecnología del modelo de aprendizaje automático, etc. En el caso de una activación mediante cualquiera de los componentes indicados, los antirootkits desinfectan el sistema.

Componentes antirootkit

• Protector del instalador: contrarresta las infecciones activas durante la instalación del producto de seguridad en el sistema que está recibiendo el ataque
• Acceso al disco de bajo nivel, acceso al registro de bajo nivel, contención: proporciona acceso de bajo nivel al disco duro y al registro de Windows, lo que evita diferentes métodos de intercepción de acceso. Implica la implementación de técnicas para la contención de la infección activa durante un período de corrección
• Limpiador de etapa de arranque: corrige en una etapa temprana del arranque del sistema operativo
• Escáner de la memoria del sistema: un módulo para buscar y corregir rootkits en la memoria del sistema
• Analizador del sistema de archivos, analizador del registro: analiza numerosos formatos del sistema de archivos y del registro de Windows
• Escáner de áreas críticas: módulo para analizar y corregir los objetos de ejecución automática; aprovecha los módulos descritos anteriormente.

Una forma de amenaza que ha aumentado durante los últimos años es el encubrimiento de los rootkits en el firmware. Este tipo de malware es muy peligroso, ya que comienza su ejecución en las primeras etapas del arranque del sistema operativo, por lo que el código malicioso puede permanecer en el sistema incluso después de que el disco sea formateado y el sistema operativo se reinicie. Los primeros rootkits para UEFI se descubrieron en el 2015. Durante los años posteriores, se han detectado varios ataques exitosos de amenazas persistentes avanzadas que utilizaban este tipo de rootkits.

Para contrarrestar esta amenaza, nuestro conjunto de tecnologías antirootkit incluye un escáner de firmware, que analiza el contenido de la ROM BIOS cuando el escáner de áreas críticas se esté ejecutando. Esta tecnología puede funcionar para los sistemas que se inician en modo UEFI o en el modo heredado (BIOS).

El escáner de firmware funciona de la siguiente manera:

• Un controlador especial vuelca el contenido del ROM BIOS.
• El escáner inspecciona el volcado mediante la heurística específica para la detección de rootkits.
• Si se detecta un código malicioso, se notifica al usuario mediante una alerta que indica la ubicación del malware (memoria del sistema) y el modo en que se inició el sistema (veredicto “MEM:Rootkit.Multi.EFI.a” para el modo UEFI y veredicto “MEM:Rootkit.Multi.BIOS.a” para el modo heredado).
• Debido a que la reescritura del ROM BIOS es una operación potencialmente peligrosa y depende de la plataforma, no se corrige de forma automática en este tipo de infección. Si se detecta un rootkit, debe comunicarse con nuestro servicio de soporte para obtener instrucciones sobre cómo reescribir manualmente el ROM BIOS. En el peor de los casos, es posible que deba reemplazar la placa base.

Una alerta de detección de rootkits de UEFI proveniente de Kaspersky Internet Security

El escáner de firmware de Kaspersky detecta todos los rootkits de UEFI conocidos, incluidos Hacking Team (VectorEDK), Lojax (DoubleAgent) y Finfish. La heurística específica se actualiza regularmente en función de los estudios de los nuevos rootkits detectados por los expertos de Kaspersky y otros proveedores. El escáner de firmware se utiliza en todos nuestros productos principales (Kaspersky Anti-Virus, Kaspersky Internet Security, Kaspersky Total Security, Kaspersky Endpoint Security for Business, etc.).