Qu'est-ce qu'un rootkit ? Comment fonctionnent les rootkits ? Les rootkits expliqués.

Bien qu'il soit possible de cacher les logiciels malveillants d'une manière qui trompera même les produits antivirus/anti-logiciels espions traditionnels, la plupart des programmes malveillants utilisent déjà des rootkits pour se cacher en profondeur sur votre PC Windows ... et ils deviennent de plus en plus dangereux ! (Windows)Le rootkit DL3 est l'un des rootkits les plus avancés jamais vus dans la nature. Le rootkit était stable et pouvait infecter les systèmes d'exploitation Windows(Windows) 32 bits ; bien que des droits d'administrateur aient été nécessaires pour installer l'infection dans le système. Mais TDL3 a maintenant été mis à jour et est désormais capable d'infecter même les versions 64 bits de Windows(even 64-bit versions  Windows) !

Qu'est-ce qu'un rootkit

virus

Un virus Rootkit est un type de logiciel malveillant furtif  conçu pour masquer l'existence de certains processus ou programmes sur votre ordinateur aux méthodes de détection habituelles, afin de lui permettre, à lui ou à un autre processus malveillant, un accès privilégié à votre ordinateur.

Les rootkits pour Windows(Rootkits for Windows) sont généralement utilisés pour masquer les logiciels malveillants, par exemple, un programme antivirus. Il est utilisé à des fins malveillantes par des virus, des vers, des portes dérobées et des logiciels espions. Un virus combiné à un rootkit produit ce que l'on appelle des virus furtifs. Les rootkits sont plus courants dans le domaine des logiciels espions, et ils sont également de plus en plus utilisés par les auteurs de virus.

Il s'agit désormais d'un type émergent de Super Spyware qui se cache efficacement et a un impact direct sur le noyau du système d'exploitation. Ils sont utilisés pour masquer la présence d'objets malveillants tels que des chevaux de Troie ou des enregistreurs de frappe sur votre ordinateur. Si une menace utilise la technologie rootkit pour se cacher, il est très difficile de trouver le malware sur votre PC.

Les rootkits en eux-mêmes ne sont pas dangereux. Leur seul but est de cacher les logiciels et les traces laissées dans le système d'exploitation. Qu'il s'agisse de logiciels normaux ou de programmes malveillants.

Il existe essentiellement trois types différents de Rootkit . Le premier type, les " Kernel Rootkits " ajoutent généralement leur propre code à des parties du noyau du système d'exploitation, tandis que le second type, les " User-mode Rootkits " sont spécialement destinés à Windows pour démarrer normalement lors du démarrage du système, ou injecté dans le système par un soi-disant "Dropper". Le troisième type est MBR Rootkits ou Bootkits(MBR Rootkits or Bootkits) .

Lorsque vous constatez que votre antivirus et votre anti- espion(AntiSpyware) échouent, vous devrez peut-être faire appel à un bon utilitaire anti-rootkit(good Anti-Rootkit Utility)(good Anti-Rootkit Utility) . RootkitRevealer de Microsoft Sysinternals est un utilitaire avancé de détection de rootkit. Sa sortie répertorie les divergences entre le registre(Registry) et l' API du système de fichiers qui peuvent indiquer la présence d'un rootkit en mode utilisateur ou en mode noyau.

(Microsoft Malware Protection Center Threat Report)Rapport sur  les menaces du Microsoft Malware Protection Center concernant les rootkits

Microsoft Malware Protection Center a mis à disposition pour téléchargement son rapport(Threat Report) sur les menaces sur les rootkits . Le rapport examine l'un des types de logiciels malveillants les plus insidieux qui menacent aujourd'hui les organisations et les individus : le rootkit. Le rapport examine comment les attaquants utilisent les rootkits et comment les rootkits fonctionnent sur les ordinateurs concernés. Voici l'essentiel du rapport, en commençant par ce que sont les rootkits - pour le débutant.

Le rootkit(Rootkit) est un ensemble d'outils qu'un attaquant ou un créateur de malware utilise pour prendre le contrôle de tout système exposé/non sécurisé qui est normalement réservé à un administrateur système. Ces dernières années, le terme 'ROOTKIT' ou 'ROOTKIT FUNCTIONALITY' a été remplacé par MALWARE - un programme conçu pour avoir des effets indésirables sur un ordinateur sain. La fonction principale des logiciels malveillants est de retirer secrètement des données précieuses et d'autres ressources de l'ordinateur d'un utilisateur et de les fournir à l'attaquant, lui donnant ainsi un contrôle total sur l'ordinateur compromis. De plus, ils sont difficiles à détecter et à éliminer et peuvent rester cachés pendant de longues périodes, voire des années, s'ils passent inaperçus.

Alors naturellement, les symptômes d'un ordinateur compromis doivent être masqués et pris en considération avant que l'issue ne s'avère fatale. En particulier, des mesures de sécurité plus strictes doivent être prises pour découvrir l'attaque. Mais, comme mentionné, une fois ces rootkits/malwares installés, ses capacités furtives rendent difficile sa suppression ainsi que ses composants qu'il pourrait télécharger. Pour cette raison, Microsoft a créé un rapport sur ROOTKITS .

Le rapport de 16 pages décrit comment un attaquant utilise les rootkits et comment ces rootkits fonctionnent sur les ordinateurs concernés.

Le seul objectif du rapport est d'identifier et d'examiner de près les logiciels malveillants puissants qui menacent de nombreuses organisations, en particulier les utilisateurs d'ordinateurs. Il mentionne également certaines des familles de logiciels malveillants les plus répandues et met en lumière la méthode utilisée par les attaquants pour installer ces rootkits à leurs propres fins égoïstes sur des systèmes sains. Dans le reste du rapport, vous trouverez des experts faisant des recommandations pour aider les utilisateurs à atténuer la menace des rootkits.

Types de rootkits

Il existe de nombreux endroits où les logiciels malveillants peuvent s'installer dans un système d'exploitation. Ainsi, la plupart du temps, le type de rootkit est déterminé par son emplacement où il effectue sa subversion du chemin d'exécution. Ceci comprend:

  1. Rootkits en mode utilisateur
  2. Rootkits en mode noyau
  3. Rootkits/bootkits MBR

L'effet possible d'un rootkit en mode noyau compromis est illustré par une capture d'écran ci-dessous.

Le troisième type consiste à modifier le Master Boot Record pour prendre le contrôle du système et démarrer le processus de chargement le plus tôt possible dans la séquence de démarrage3. Il cache les fichiers, les modifications du registre, les preuves des connexions réseau ainsi que d'autres indicateurs possibles qui peuvent indiquer sa présence.

Familles de logiciels malveillants(Malware) notables qui utilisent la fonctionnalité Rootkit

  • Win32/Sinowal 13 – Une famille de logiciels malveillants à plusieurs composants qui tente de voler des données sensibles telles que les noms d'utilisateur et les mots de passe pour différents systèmes. Cela inclut les tentatives de vol des informations d'authentification pour une variété de comptes FTP , HTTP et de messagerie, ainsi que les informations d'identification utilisées pour les opérations bancaires en ligne et d'autres transactions financières.
  • Win32/Cutwail 15 – Un cheval de Troie(Trojan) qui télécharge et exécute des fichiers arbitraires. Les fichiers téléchargés peuvent être exécutés à partir du disque ou injectés directement dans d'autres processus. Bien que la fonctionnalité des fichiers téléchargés soit variable, Cutwail télécharge généralement d'autres composants qui envoient du spam. Il utilise un rootkit en mode noyau et installe plusieurs pilotes de périphériques pour masquer ses composants aux utilisateurs concernés.
  • Win32/Rustock  – Une famille multi-composants de chevaux de Troie(Trojans) de porte dérobée compatibles avec les rootkits initialement développés pour aider à la distribution de courriers indésirables via un botnet . Un botnet est un vaste réseau d'ordinateurs compromis contrôlé par des pirates.

Protection contre les rootkits

Empêcher l'installation des rootkits est la méthode la plus efficace pour éviter l'infection par les rootkits. Pour cela, il est nécessaire d'investir dans des technologies de protection telles que des produits anti-virus et pare-feu. Ces produits doivent adopter une approche globale de la protection en utilisant la détection traditionnelle basée sur les signatures, la détection heuristique, la capacité de signature dynamique et réactive et la surveillance du comportement.

Tous ces ensembles de signatures doivent être tenus à jour à l'aide d'un mécanisme de mise à jour automatisé. Les solutions antivirus Microsoft(Microsoft) incluent un certain nombre de technologies conçues spécifiquement pour atténuer les rootkits, y compris la surveillance en direct du comportement du noyau qui détecte et signale les tentatives de modification du noyau d'un système affecté, et l'analyse directe du système de fichiers qui facilite l'identification et la suppression des pilotes cachés.

Si un système est trouvé compromis, un outil supplémentaire qui vous permet de démarrer sur un bon environnement connu ou de confiance peut s'avérer utile car il peut suggérer des mesures correctives appropriées.(If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.)

Dans de telles circonstances,

  1. L' outil Standalone System Sweeper (qui fait partie de (Standalone System Sweeper)Microsoft Diagnostics and Recovery Toolset ( DaRT )
  2. Windows Defender hors ligne(Defender Offline) peut être utile.

Pour plus d'informations, vous pouvez télécharger le rapport PDF à partir du (PDF)Centre de téléchargement Microsoft.(Microsoft Download Center.)



Julien Roy

About the author

Je suis un technicien en informatique qui travaille avec Android et les logiciels bureautiques depuis de nombreuses années. J'enseigne également aux gens comment utiliser les Mac depuis environ 5 ans. Si vous cherchez quelqu'un qui sait comment réparer les choses sur votre ordinateur, je peux probablement vous aider !


Related posts