La guía técnica definitiva: kernel, firmware, UEFI
Los rootkits representan el nivel más avanzado de malware: software diseñado no solo para ejecutar acciones maliciosas sino para hacerse completamente invisible al sistema operativo y a las herramientas de seguridad. Esta serie cubre desde los fundamentos teóricos hasta los implants de firmware UEFI más sofisticados.
Bloque 1: Fundamentos y técnicas (artículos 1-5) Taxonomía, historia, SSDT hooking, DKOM, PatchGuard bypass.
Bloque 2: Rootkits Windows clásicos (artículos 6-10) FU Rootkit, Hacker Defender, TDL4/Alureon, ZeroAccess, Necurs/Rustock.
Bloque 3: UEFI y firmware (artículos 11-15) LoJax, MosaicRegressor, MoonBounce, BlackLotus, CosmicStrand.
Bloque 4: Linux rootkits (artículos 16-18) Diamorphine, Reptile, Suterusu/Adore-NG.
Bloque 5: Detección y carrera profesional (artículos 19-24) Blue Pill hypervisor, detección con Volatility/GMER, CHIPSEC, WinDbg lab, papers clásicos, career path.
Esta serie requiere conocimiento previo de arquitectura de sistemas operativos (kernel mode vs user mode), programación en C, y familiaridad con herramientas de reverse engineering. Los artículos de C02 (Windows Malware) y C03 (Linux Malware) son prerequisitos recomendados.
Taxonomía completa de rootkits: user-mode (LD_PRELOAD, IAT hooking), kernel-mode (LKM, sys_call_table), bootkits (MBR, VBR, UEFI), firmware implants, y hypervisor rootkits. Clasificación por nivel de privilegio, persistencia y dificultad de detección.
Cronología completa de los rootkits más influyentes. Desde FU Rootkit y DKOM (1999) hasta BlackLotus y los UEFI implants (2022). Cada hito que cambió la carrera armamentística entre atacantes y defensores a nivel de kernel.
Análisis técnico de SSDT hooking en Windows. Cómo funciona la System Service Descriptor Table, cómo los rootkits la modifican para interceptar syscalls, la protección de PatchGuard, y técnicas de detección con Volatility y herramientas forenses.
Análisis técnico de DKOM (Direct Kernel Object Manipulation). Cómo los rootkits manipulan las estructuras EPROCESS y ETHREAD del kernel de Windows para ocultar procesos sin hookear syscalls. Detección con Volatility y pool scanning.
Analisis tecnico de PatchGuard/KPP en Windows x64: que protege, como funciona, tecnicas de bypass documentadas (timing attacks, hypervisor, debug registers) y deteccion forense.
Análisis técnico del FU Rootkit de Jamie Butler (2004). Primera implementación pública de DKOM para ocultar procesos, drivers y elevar privilegios en Windows.
Analisis tecnico de TDL4/Alureon: bootkit MBR, filesystem cifrado, bypass de DSE y PatchGuard en x64, C&C via Kad P2P y deteccion defensiva.
Análisis técnico de ZeroAccess/Sirefef (2010-2013): rootkit kernel-mode con filesystem oculto, arquitectura P2P descentralizada y botnet de 9M de infecciones.
Análisis técnico de Rustock y Necurs, rootkits de kernel diseñados para proteger botnets de spam. DKOM, IRP hooking, minifilter drivers, DGA y las operaciones de desmantelamiento.
Analisis tecnico de LoJax, el primer rootkit UEFI usado por APT28 en ataques reales. Infeccion SPI flash, persistencia extrema y deteccion defensiva.
Analisis tecnico de MosaicRegressor: framework UEFI modular descubierto por Kaspersky en 2020, basado en VectorEDK de HackingTeam, con implantes DXE y persistencia en SPI flash.
Analisis tecnico de MoonBounce, rootkit UEFI que modifica CORE_DXE en SPI flash. Atribuido a APT41/Winnti. Cadena de infeccion, deteccion y mitigaciones.
Analisis tecnico de BlackLotus, primer bootkit UEFI capaz de bypasear Secure Boot en sistemas Windows 11 completamente parcheados. CVE-2022-21894, cadena de infeccion y defensa.
Analisis tecnico de CosmicStrand, rootkit UEFI que modifica CSMCORE DXE en placas ASUS y Gigabyte H81. Atribuido a actor chino. Cadena boot completa en memoria.
Análisis técnico de Diamorphine, el rootkit LKM open-source para Linux más utilizado por threat actors. Hooks syscall table, señales mágicas, ocultación de procesos y detección con eBPF.
Análisis técnico de Reptile, rootkit LKM open-source para Linux con reverse shell cifrada, port knocking, kmatryoshka y ocultación avanzada. Usado por Kimsuky y Earth Berberoka.
Analisis tecnico de Adore-NG y Suterusu, rootkits LKM Linux que usan VFS hooking en vez de syscall table. Comparativa tecnica, deteccion y evolucion historica.
Analisis tecnico de Blue Pill, el rootkit de hypervisor de Joanna Rutkowska. Usa AMD-V/VT-x para migrar el OS a una VM sin reinicio. Deteccion y defensas.
Guía práctica de detección de rootkits con Volatility Framework y GMER. Plugins clave, comandos paso a paso, análisis cross-view y metodología forense defensiva.
Guia practica de CHIPSEC para detectar rootkits UEFI. Modulos SPI lock, BIOS write protection, Secure Boot, firmware whitelisting y flujo de analisis forense.
Guia completa para montar un laboratorio de kernel debugging con WinDbg orientado al analisis de rootkits. Configuracion, comandos esenciales y ejercicios practicos de deteccion.
Guia curada de los papers y publicaciones academicas mas importantes sobre rootkits. De Phrack a MoonBounce, la investigacion que definio el campo.
Guía completa para construir una carrera en rootkit analysis y kernel security. Roles, roadmap de skills en 3 niveles, certificaciones, salarios y cómo crear tu portfolio.