10 choses que vous devriez connaître sur les rootkits

Voir le sujet précédent Voir le sujet suivant Aller en bas

10 choses que vous devriez connaître sur les rootkits

Message par Informadomicile le Mer 24 Juin - 18:16

Traduction en francais d'un article de Michael Kassner, publié en septembre 2008 sur TechRepublic que je remercie pour le droit sur le copyright


10 choses que vous devriez connaître sur les rootkits

Les rootkits propagés par les malware alimentent une industrie du spyware de plusieurs milliards de dollars en volant l'information financière de particuliers ou de corporations. Comme si ce n'était pas desja assez mauvais, les botnets propagés par les rootkit produisent des quantités incalculables de Spam. Voici un aperçu de ce que sont les rootkits et ce qu’il convient de faire à leur sujet.
________________________________________
Les Rootkits sont complexes et sans cesse changeant, ce qui rend difficile de comprendre exactement ce que vous traitez. Néanmoins, je voudrais prendre un instant pour les expliquer, de sorte que vous ayez une chance de les combattre si vous êtes confronté avec l’un d’eux.

#1: qu’est-ce qu’un rootkit ?
Diviser le mot rootkit dans les deux mots le composant, root et kit, est une manière utile de le définir. Root est un terme d'UNIX/Linux dont est l'équivalent est Administrateur dans Windows. Le mot kit dénote les programmes qui permettent à quelqu'un d'obtenir l'accès de root/administrateur à l'ordinateur en exécutant les programmes contenus dans le kit, et cela sans consentement ou connaissance de l'utilisateur.

#2: Pourquoi employer un rootkit ?
Les Rootkits ont deux fonctions primaires : commande et contrôle à distance (backdoor ou porte dérobée) et écoute clandestine par logiciel. Les Rootkits permettent à quelqu'un, de légitime ou pas, de commander administrativement un ordinateur. Ceci signifie exécuter des dossiers, accéder aux logs, surveiller l'activité de l'utilisateur, et même changer la configuration de l'ordinateur. Par conséquent, dans le sens le plus strict, même les versions de VNC sont des rootkits. Ceci étonne la plupart des personnes, car elles considèrent comme seuls les malwares sont des rootkit, mais intrinsèquement ils ne sont pas malveillants du tout.
Un exemple célèbre (ou infâme, selon votre point de vue) d'utilisation de rootkit était la Tentative de Sony BMG pour empêcher les violations de copyright. Sony BMG n'avait indiqué à personne qu'il plaçait un logiciel de DRM sur les ordinateurs personnels quand certains CD étaient joués. Sur une note effrayante, la technique de dissimulation Sony de rootkit utilisée était si bonne que pas une application d'antivirus ou d'anti-spyware ne l'avait détectée.

#3: Comment les rootkits propagent-ils ?
Les Rootkits ne peuvent pas se propager par eux-mêmes, et ce fait a provoqué beaucoup de confusion. En réalité, les rootkits sont juste un composant d’un ensemble de programmes malveillants (malware). Ces ensembles se composent typiquement de trois extraits de code : un compte-gouttes (dropper), un chargeur (loader), et un rootkit.
Le compte-gouttes est le code qui permet l'installation des rootkit. Le lancement du programme de compte-gouttes nécessite habituellement l'intervention humaine, telle que cliquer sur un lien malveillant dans un E-mail. Une fois lancé, le compte-gouttes lance le chargeur et se supprime alors. Une fois actif, le chargeur cause typiquement un débordement de tampon, qui charge le rootkit dans la mémoire.
Le malware son pied dans la porte par l’ingénierie sociale (social engineering), exploitant des vulnérabilités connues, ou même la force brute. Voici deux exemples de quelques exploits courants et réussis :
IM (messagerie instantanée). Cette approche exige des ordinateurs avec une IM installée (rien de plus répandu). Si le malware approprié prend place sur un seul ordinateur utilisant une IM, il prend le contrôle du client IM, envoyant des messages contenant des liens malveillants à chaque adresse sur la liste de contact. Quand le destinataire clique sur le lien (ingénierie sociale, car il vient d'un ami), cet ordinateur devient infecté avec un rootkit-à son tout.
Contenu riche. La plus nouvelle approche est d'insérer le malware dans des fichiers de contenu riche, tels que des documents pdf. La simple ouverture du fichier pdf exécutera le code de compte-gouttes, et il est trop tard.

#4: rootkits en mode utilisateur
Il y a plusieurs types de rootkits, mais nous commencerons par les plus simples. Les rootkits en mode utilisateur (user mode) fonctionnent sur les ordinateurs avec des privilèges administratifs. Ceci permet à des rootkits en mode utilisateur de changer la sécurité et de cacher des processus, des dossiers, des pilotes système, des ports de réseau, et même des services système. Les rootkits en mode utilisateur demeurent installés sur l'ordinateur infecté en copiant les dossiers exigés sur l'unité de disque dur de l'ordinateur, se lançant automatiquement avec chaque initialisation du système.
Tristement, les rootkits d'utilisateur-mode sont le seul type que les applications d'antivirus ou d'anti-spyware ont la possibilité de détecter. Un exemple d'un rootkit d'utilisateur-mode est Hacker Defender,. C'est un vieux rootkit, mais il a une histoire illustre. Si vous lisez le lien au sujet de Hacker Defender, vous vous renseignerez sur Mark Russinovich, sa détection Rootkit appelée Rootkit Revealer, et son jeu du chat-et de la-souris avec le créateur de Hacker Defender.

#5: rootkit de mode noyau
Les développeurs de Malware sont un groupe de futés. Se rendant compte que des rootkits fonctionnant en utilisateur-mode peuvent être trouvés par les logiciels de détection de rootkit fonctionnant en mode noyau (kernel mode), ils ont développé des rootkits fonctionnant en mode noyau, plaçant le rootkit au même niveau que le logiciel d'exploitation et le logiciel de détection de rootkit. Simplement dit, on ne peut plus faire confiance à l’OS. Un rootkit de mode noyau retient beaucoup d'attention est Da IOS rootkit, développé par Sebastian Muniz et visant le logiciel d'exploitation de Cisco.
L'instabilité est l'une des faiblesses d'un rootkit de mode noyau. Si vous notez des écrans bleus sur votre ordinateur sans raisons apparentes, ce pourrait être un rootkit de mode noyau.

#6: rootkit hybride mode utilisateur/mode noyau
Les développeurs de Rootkit, voulant le meilleur des deux mondes, ont développé un rootkit hybride qui combine des caractéristiques du mode utilisateur (faciles à employer et stables) avec des caractéristiques de mode noyau (furtives). L'approche hybride est très réussie et ce type de rootkit est le plus populaire actuellement.

#7: Rootkits de firmware
Les rootkits de progiciels sont la prochaine étape dans la sophistication. Ce type de rootkit peut être l'un des autres types avec un ressort supplémentaire ; le rootkit peut se cacher dans le firmware quand l'ordinateur est arrêté. Remettez en marche l'ordinateur, et le rootkit se réinstalle. Les firmware modifiés peuvent être n’importe quoi depuis le code de microprocesseur jusqu’aux firmware de carte d'expansion PCI. Même si un programme de désinfection trouve et élimine le rootkit, la prochaine fois que l'ordinateur démarre, le rootkit de firmware retourne a son travail. John Heasman à fait un grand article a ce sujet : « Implémenter et détecter un PCI Rootkit » (Pdf).

#8: Rootkits virtuels
Les rootkits virtuels sont une approche assez nouvelle et innovatrice. Les rootkit virtuels agissent comme une implémentation logicielle de matériel, semblable à ce qui est utilisé par VMware. Cette technologie a provoqué une grande appréhension, car les rootkits virtuels sont presque invisibles. The blue Pill (la Pilule bleue) est un exemple de ce type de rootkit. A ma connaissance, les chercheurs n'ont pas trouvé de rootkits virtuels dans la nature. Ironiquement, c'est parce que les rootkits virtuels sont complexes et que d'autres types fonctionnent encore tellement bien.

#9: Symptômes génériques d'infestation de rootkit
Les Rootkits sont frustrants. Par conception, il est difficile de savoir s'ils sont installés sur un ordinateur. Même les experts ont un du mal mais laissent entendre que les rootkits installés devraient avoir la même considération que toutes les autres raisons possibles de diminution d'efficacité de fonctionnement. Désolé d’être vague, mais cela tient à la nature de la bête.

Voici une liste de symptômes remarquables :
• Si l'ordinateur se bloque ou cesse de répondre à n'importe quel genre d'entrée de la souris ou du clavier, cela pourrait être dû à un rootkit installé en mode noyau.
• Les paramètres de Windows changent sans permission. Par exemple modification de l’écran de veille ou la barre des tâches qui se cache toute seule.
• Les page web ou les activités réseau fonctionnent par intermittence ou incorrectement dues au trafic excessif de réseau.

Si le rootkit fonctionne correctement, la plupart de ces symptômes ne vont pas être apparents. Par définition, les bons rootkits sont furtifs. Le dernier symptôme (ralentissement de réseau) devrait être celui qui alerte. Les Rootkits ne peuvent pas cacher des augmentations du trafic, particulièrement si l'ordinateur agit en tant que relais de Spam ou participe à une attaque de DDoS.

#10: Polymorphisme
J'ai hésité à inclure le polymorphisme dans le sujet, puisqu'il n'est pas spécifique aux rootkits. Mais c'est une technologie étonnante qui rend des rootkits difficiles à trouver. Les techniques de polymorphisme permettent au malware tels que des rootkits de réécrire le code de noyau, ce qui rend inutiles l’utilisation d’antivirus et les anti-spyware basés sur la signature. Le polymorphisme donne même beaucoup d'ennui aux défenses basées sur le comportement (heuristique). Le seul espoir de trouver les rootkits qui emploient le polymorphisme est une technologie qui inspecte profondément le logiciel d'exploitation et compare alors les résultats à une bonne ligne de base connue du système.

#11: Détection et supression
Vous connaissez tous de quoi il retourne, mais la répétition vaut la peine. Assurez vous de garder à jour le logiciel d'antivirus/ anti-spyware (et en fait, chaque composant de logiciel de l'ordinateur). C’est déjà un grand travail de fait pour contrer les malware. Tenir tout à jour est difficile, mais un outil tel que le programme Secunia Balayage de vulnérabilité peut aider.

La détection et le déplacement dépend de la sophistication du rootkit. Si le rootkit est de la variété d'utilisateur-mode, n'importe lequel des outils de supression de rootkit suivants fera probablement le travail :
• Blacklight de F-Secure
• RootkitRevealer
• Outil de suppression de logiciels malveillants de Windows
• ProcessGuard
• Rootkit Hunter (Linux et BSD)

Le problème avec ces outils est que vous ne pouvez pas être sûr qu'ils ont enlevé le rootkit. Quoiqu’un travail plus intensif, à l'aide d'un CD amorçable, comme BartPE, avec un module de balayage antivirus augmentera les chances de détecter un rootkit, simplement parce que les rootkits ne peuvent pas brouiller leur piste quand ils ne fonctionnent pas. J'ai peur que la seule manière d’être sur, soit d'avoir un ordinateur propre, de prendre une ligne de base, puis d’employer une application comme Encase pour vérifier tout code additionnel.

Pensées finales
Les avis divergent quand il s’agit de la supression de rootkit, comme cela est discuté dans l'article de NetworkWorld « Experts divided over rootkit detection and removal ». Bien que l'article ait deja deux ans, l'information est encore appropriée. Il y a un certain espoir, cependant : Intel Trusted Platform Module (Module de confiance de plateforme ouTPM) a été cité comme solution possible à l'infestation de malware. Le problème avec TPM est qu’il est quelque peu controversé. En outre, cela prendra des années avant qu’un nombre suffisant d’ordinateurs aient des processeurs avec TPM.
Si vous cherchez de l'information additionnelle, je recommande le livre Subverting the Windows Kernel, par Gary Hoglund et James Butler, de HPGary.
________________________________________
Michael Kassner s’est impliqué dans les communications sans fil pendant 40 années consecutives, commençant par la radio amateur (K0PBX) et maintenant en tant qu'un technicien de réseau pour les services Orange et conseiller sans fil indépendant avec MKassner Net.. Ses certifications courantes incluent le Cisco ESTQ, le CWNA, et le CWSP.

_________________
Dépannage Informatique à Domicile :
informadomicile.fr
avatar
Informadomicile
Administrateur

Masculin Nombre de messages : 4164
Age : 50
Date d'inscription : 30/04/2006

Revenir en haut Aller en bas

Voir le sujet précédent Voir le sujet suivant Revenir en haut

- Sujets similaires

 
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum