Malware en el kernel: el ataque interior

El kernel es el corazón de los sistemas operativos modernos. La ejecución de código en el kernel dispone de acceso completo a toda la memoria, incluyendo el propio kernel, todas las instrucciones de la CPU y todo el hardware. Por esta razón tan obvia sólo al software más fiable debería permitírsele la ejecución en modo kernel.

Hoy día estamos asistiendo a una amenaza emergente en forma de malware en modo kernel, lo que significa que el software malicioso se ejecuta como parte del sistema operativo, con acceso total a los recursos del ordenador. Para el usuario final esto significa que el malware puede saltarse los cortafuegos software y resultar casi imposible de detectar y eliminar aunque se utilicen los mejores antivirus posibles.

Este documento examina los casos más importantes de malware que utiliza técnicas en modo kernel registrados en los últimos años...

La investigación está limitada a Windows NT y versiones posteriores de Windows. Se examinan los posibles motivos que llevan a los autores de malware a trasladar sus creaciones al modo kernel. También se realiza una análisis detallado de las principales técnicas que hacen posible su existencia.

• Kernel Malware: The Attack from Within [F-Secure Blog, pdf, 682 KB, 15 páginas].