Les rootkits sont utilisés par les pirates pour cacher des logiciels malveillants persistants et apparemment indétectables dans votre appareil qui volent silencieusement des données ou des ressources, parfois au cours de plusieurs années. Ils peuvent également être utilisés à la manière d'un enregistreur de frappe où vos frappes et vos communications sont surveillées, fournissant au spectateur des informations sur la confidentialité.  

Cette méthode de piratage particulière était plus pertinente avant 2006, avant que Microsoft Vista n'oblige les fournisseurs à signer numériquement tous les pilotes d'ordinateur. Le Kernel Patch Protection ( KPP ) a amené les créateurs de logiciels malveillants à modifier leurs méthodes d'attaque et ce n'est que récemment, à partir de 2018, avec l' opération de fraude publicitaire Zacinlo^{(Zacinlo ad fraud operation)} , que les rootkits sont revenus sur le devant de la scène.

Les rootkits antérieurs à 2006 étaient tous spécifiquement basés sur le système d'exploitation. La situation de Zacinlo , un rootkit de la famille des malwares Detrahere^{(Detrahere malware)} , nous a donné quelque chose d'encore plus dangereux sous la forme d'un rootkit basé sur un firmware. Quoi qu'il^(Regardless) en soit , les rootkits ne représentent qu'environ un pour cent de toutes les sorties de logiciels malveillants observées chaque année. 

Néanmoins, en raison du danger qu'ils peuvent présenter, il serait prudent de comprendre comment fonctionne la détection des rootkits qui ont peut-être déjà infiltré votre système.

Détection des rootkits dans Windows 10 ( en profondeur^(In-Depth) )

Zacinlo était en fait en jeu depuis près de six ans avant d'être découvert ciblant la plate-forme Windows 10 . Le composant rootkit était hautement configurable et se protégeait des processus qu'il jugeait dangereux pour ses fonctionnalités et était capable d'intercepter et de décrypter les communications SSL .

Il chiffrerait et stockerait toutes ses données de configuration dans le registre Windows^{(Windows Registry)} et, pendant que Windows s'arrêtait, se réécrirait de la mémoire sur le disque en utilisant un nom différent et mettrait à jour sa clé de registre. Cela l'a aidé à échapper à la détection par votre logiciel antivirus standard.

Cela montre qu'un logiciel antivirus ou antimalware standard ne suffit pas pour détecter les rootkits. Cependant, il existe quelques programmes antimalware de premier plan qui vous alerteront en cas de suspicion d'attaque de rootkit. 

Les 5 attributs clés d'un bon logiciel antivirus^{(The 5 Key Attributes Of a Good Antivirus Software)}

La plupart des principaux programmes antivirus d'aujourd'hui exécutent ces cinq méthodes notables pour détecter les rootkits.

• Analyse basée sur les signatures^{(Signature-based Analysis)} – Le logiciel antivirus comparera les fichiers enregistrés avec les signatures connues des rootkits. L'analyse recherchera également des modèles de comportement qui imitent certaines activités d'exploitation de rootkits connus, comme l'utilisation agressive des ports.
• Détection d'interception^{(Interception Detection)} - Le système d'exploitation Windows utilise des tables de pointeurs pour exécuter des commandes connues pour inciter un rootkit à agir. Étant donné que les rootkits tentent de remplacer ou de modifier tout ce qui est considéré comme une menace, cela avertira votre système de leur présence.
• Comparaison de données multi-sources^{(Multi-Source Data Comparison)} - Les rootkits , dans leur tentative de rester cachés, peuvent modifier certaines données présentées lors d'un examen standard. Les résultats renvoyés par les appels système de haut et de bas niveau peuvent révéler la présence d'un rootkit. Le logiciel peut également comparer la mémoire de processus chargée dans la RAM avec le contenu du fichier sur le disque dur.
• Contrôle d'intégrité^{(Integrity Check)} - Chaque bibliothèque système possède une signature numérique qui est créée au moment où le système a été considéré comme "propre". Un bon logiciel de sécurité peut vérifier les bibliothèques pour toute altération du code utilisé pour créer la signature numérique.
• Comparaisons de registre^{(Registry Comparisons)} - La plupart des logiciels antivirus les ont selon un calendrier prédéfini. Un fichier propre sera comparé à un fichier client, en temps réel, pour déterminer si le client est ou contient un exécutable non sollicité (.exe).

Effectuer des analyses de rootkit^{(Performing Rootkit Scans)}

L'exécution d'une analyse rootkit est la meilleure tentative pour détecter une infection rootkit. Le plus souvent, votre système d'exploitation n'est pas fiable pour identifier un rootkit par lui-même et présente un défi pour déterminer sa présence. Les rootkits sont des maîtres espions, couvrant leurs traces à presque chaque tournant et capables de rester cachés à la vue de tous.

Si vous pensez qu'une attaque de virus rootkit a eu lieu sur votre ordinateur, une bonne stratégie de détection consiste à éteindre l'ordinateur et à exécuter l'analyse à partir d'un système propre connu. Un moyen infaillible de localiser un rootkit dans votre machine consiste à effectuer une analyse de vidage mémoire. Un rootkit ne peut pas masquer les instructions qu'il donne à votre système lorsqu'il les exécute dans la mémoire de la machine.

Utilisation de WinDbg pour l'analyse des logiciels malveillants^{(Using WinDbg For Malware Analysis)}

Microsoft Windows a fourni son propre outil de débogage multifonction qui peut être utilisé pour effectuer des analyses de débogage sur les applications, les pilotes ou le système d'exploitation lui-même. Il déboguera le code en mode noyau et en mode utilisateur, aidera à analyser les vidages sur incident et examinera les registres du processeur^(CPU) .

Certains systèmes Windows sont déjà livrés avec WinDbg . Ceux qui n'en ont pas devront le télécharger à partir du Microsoft Store . WinDbg Preview est la version la plus moderne de WinDbg , offrant des visuels plus agréables à regarder, des fenêtres plus rapides, des scripts complets et les mêmes commandes, extensions et flux de travail que l'original.

Au strict minimum, vous pouvez utiliser WinDbg pour analyser une mémoire ou un vidage sur incident, y compris un écran bleu^{(Blue Screen)} de la mort^(Death) ( BSOD ). À partir des résultats, vous pouvez rechercher des indicateurs d'une attaque de logiciel malveillant. Si vous pensez que l'un de vos programmes peut être gêné par la présence de logiciels malveillants ou utilise plus de mémoire que nécessaire, vous pouvez créer un fichier de vidage et utiliser WinDbg pour vous aider à l'analyser.

Un vidage de mémoire complet peut occuper un espace disque important, il peut donc être préférable d'effectuer un vidage en mode noyau^{(Kernel-Mode)} ou un vidage de petite mémoire^(Memory) à la place. Un vidage en mode noyau contiendra toutes les informations d'utilisation de la mémoire par le noyau au moment du crash. Un petit vidage de mémoire^(Memory) contiendra des informations de base sur différents systèmes tels que les pilotes, le noyau, etc., mais il est minuscule en comparaison.

Les petits vidages de mémoire^(Memory) sont plus utiles pour analyser pourquoi un BSOD s'est produit. Pour détecter les rootkits, une version complète ou du noyau sera plus utile.

Création d'un fichier de vidage en mode noyau^{(Creating A Kernel-Mode Dump File)}

Un fichier de vidage en mode noyau^{(Kernel-Mode)} peut être créé de trois manières :

• Activez le fichier de vidage à partir du Panneau^{(Control Panel)} de configuration pour permettre au système de planter tout seul
• Activez le fichier de vidage à partir du Panneau^{(Control Panel)} de configuration pour forcer le système à planter
• Utilisez un outil de débogage pour en créer un pour vous

Nous irons avec le choix numéro trois. 

Pour effectuer le fichier de vidage nécessaire, il vous suffit d'entrer la commande suivante dans la fenêtre de commande de ^(Command)WinDbg .

Remplacez FileName par un nom approprié pour le fichier de vidage et le "?" avec un f . Assurez-vous que le « f » est en minuscule, sinon vous créerez un autre type de fichier de vidage.

Une fois que le débogueur a suivi son cours (la première analyse prendra des minutes considérables), un fichier de vidage aura été créé et vous pourrez analyser vos résultats.

Comprendre ce que vous recherchez, comme l'utilisation de la mémoire volatile ( RAM ), pour déterminer la présence d'un rootkit nécessite de l'expérience et des tests. Il est possible, bien que non recommandé pour un novice, de tester des techniques de découverte de logiciels malveillants sur un système réel. Pour ce faire, il faudra à nouveau une expertise et des connaissances approfondies sur le fonctionnement de WinDbg afin de ne pas déployer accidentellement un virus vivant dans votre système.

Il existe des moyens plus sûrs et plus conviviaux pour les débutants de découvrir notre ennemi bien caché.

Méthodes de numérisation supplémentaires^{(Additional Scanning Methods)}

La détection manuelle et l'analyse comportementale sont également des méthodes fiables pour détecter les rootkits. Tenter de découvrir l'emplacement d'un rootkit peut être très pénible. Au lieu de cibler le rootkit lui-même, vous pouvez plutôt rechercher des comportements de type rootkit.

Vous pouvez rechercher des rootkits dans les ensembles de logiciels téléchargés en utilisant les options d'installation avancées^(Advanced) ou personnalisées^(Custom) lors de l'installation. Ce que vous devrez rechercher, ce sont les fichiers inconnus répertoriés dans les détails. Ces fichiers doivent être supprimés ou vous pouvez effectuer une recherche rapide en ligne pour toute référence à un logiciel malveillant.

Les pare-feu et leurs rapports de journalisation sont un moyen incroyablement efficace de découvrir un rootkit. Le logiciel vous avertira si votre réseau est sous surveillance et doit mettre en quarantaine tout téléchargement méconnaissable ou suspect avant l'installation. 

Si vous pensez qu'un rootkit peut déjà être sur votre machine, vous pouvez plonger dans les rapports de journalisation du pare-feu et rechercher tout comportement inhabituel.

Examen des rapports de journalisation du pare-feu^{(Reviewing Firewall Logging Reports)}

Vous voudrez revoir vos rapports de journalisation de pare-feu actuels, faisant d'une application open source comme IP Traffic Spy avec des capacités de filtrage de journal de pare-feu, un outil très utile. Les rapports vous montreront ce qu'il faut voir en cas d'attaque. 

Si vous avez un grand réseau avec un pare-feu de filtrage de sortie autonome, IP Traffic Spy ne sera pas nécessaire. Au lieu de cela, vous devriez pouvoir voir les paquets entrants et sortants vers tous les appareils et postes de travail du réseau via les journaux du pare-feu.

Que vous soyez à la maison ou dans une petite entreprise, vous pouvez utiliser le modem fourni par votre FAI^(ISP) ou, si vous en possédez un, un pare-feu ou un routeur personnel pour extraire les journaux du pare-feu. Vous pourrez identifier le trafic pour chaque appareil connecté au même réseau. 

Il peut également être avantageux d'activer les fichiers journaux du pare-feu Windows . ^{(Windows Firewall Log)}Par défaut, le fichier journal est désactivé, ce qui signifie qu'aucune information ou donnée n'est écrite.

• Pour créer un fichier journal, ouvrez la fonction Exécuter^(Run) en appuyant sur la Windows key + R .
• Tapez wf.msc dans la zone et appuyez sur Entrée^(Enter) .

• Dans la fenêtre Pare-feu Windows^{(Windows Firewall)} et sécurité avancée^{(Advanced Security)} , sélectionnez "Pare-feu Windows Defender avec sécurité avancée^{(Advanced Security)} sur l'ordinateur local" dans le menu de gauche. Dans le menu situé à l'extrême droite, sous "Actions", cliquez sur Propriétés^(Properties) .

• Dans la nouvelle fenêtre de dialogue, accédez à l'onglet "Profil privé" et sélectionnez Personnaliser^(Customize) , qui se trouve dans la section "Journalisation".

• La nouvelle fenêtre vous permettra de sélectionner la taille d'un fichier journal à écrire, l'endroit où vous souhaitez que le fichier soit envoyé et s'il faut enregistrer uniquement les paquets abandonnés, la connexion réussie ou les deux.

• ^(Dropped)Les paquets abandonnés sont ceux que le pare- feu Windows^{(Windows Firewall)} a bloqués en votre nom.
• Par défaut, les entrées du journal du pare-feu Windows^{(Windows Firewall)} ne stockent que les 4 derniers Mo de données et se trouvent dans %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
• N'oubliez pas que l'augmentation de la taille limite d'utilisation des données pour les journaux peut avoir un impact sur les performances de votre ordinateur.
• Appuyez sur OK lorsque vous avez terminé.
• Ensuite, répétez les mêmes étapes que vous venez de suivre dans l'onglet "Profil privé", mais cette fois dans l'onglet "Profil public".
  • Les journaux seront désormais générés pour les connexions publiques et privées. Vous pouvez afficher les fichiers dans un éditeur de texte comme le Bloc^(Notepad) -notes ou les importer dans une feuille de calcul.
  • Vous pouvez maintenant exporter les fichiers journaux dans un programme d'analyse de base de données comme IP Traffic Spy pour filtrer et trier le trafic pour une identification facile.

Gardez un œil sur tout ce qui sort de l'ordinaire dans les fichiers journaux. Même le moindre défaut du système peut indiquer une infection rootkit. Quelque chose comme une utilisation excessive du processeur^(CPU) ou de la bande passante lorsque vous n'exécutez rien de trop exigeant, ou pas du tout, peut être un indice majeur.

How to Detect Rootkits In Windows 10 (In-Depth Guide)

Rootkits are used by hackers to hide persistent, sеemingly undetectable malware within your device that will silently steal datа оr rеsources, sometіmes over the сourse of multiple yеars. They cаn also be used in keylogger fashion where your keystrokes and communicatіons are surveilled providing the onlooker with privacy information.  

This particular hacking method saw more relevance pre-2006, prior to Microsoft Vista requiring vendors to digitally sign all computer drivers. The Kernel Patch Protection (KPP) caused malware writers to change their attack methods and only recently as of 2018 with the Zacinlo ad fraud operation, did rootkits re-enter the spotlight.

The rootkits pre-dating 2006 were all specifically operating system-based. The Zacinlo situation, a rootkit from the Detrahere malware family, gave us something even more dangerous in the form of a firmware-based rootkit. Regardless, rootkits are only around one percent of all malware output seen annually. 

Even so, because of the danger they can present, it would be prudent to understand how detecting rootkits that may have already infiltrated your system works.

Detecting Rootkits in Windows 10 (In-Depth)

Zacinlo had actually been in play for almost six years before being discovered targeting the Windows 10 platform. The rootkit component was highly configurable and protected itself from processes it deemed dangerous to its functionality and was capable of intercepting and decrypting SSL communications.

It would encrypt and store all of its configuration data within the Windows Registry and, while Windows was shutting down, rewrite itself from memory to disk using a different name, and update its registry key. This helped it to evade detection by your standard antivirus software.

This goes to show that a standard antivirus or antimalware software is not enough for detecting rootkits. Although, there are a few top tier antimalware programs that will alert you to suspicions of a rootkit attack. 

The 5 Key Attributes Of a Good Antivirus Software

Most of the prominent antivirus programs today will perform all five of these notable methods for detecting rootkits.

• Signature-based Analysis – The antivirus software will compare logged files with known signatures of rootkits. The analysis will also look for behavioral patterns that mimic certain operating activities of known rootkits, such as aggressive port use.
• Interception Detection – The Windows operating system employs pointer tables to run commands that are known to prompt a rootkit to act. Since rootkits attempt to replace or modify anything considered a threat, this will tip off your system to their presence.
• Multi-Source Data Comparison – Rootkits, in their attempt to remain hidden, may alter certain data presented in a standard examination. The returned results of high and low-level system calls can give away the presence of a rootkit. The software may also compare the process memory loaded into the RAM with the content of the file on the hard disk.
• Integrity Check – Every system library possesses a digital signature that is created at the time the system was considered “clean”. Good security software can check the libraries for any alteration of the code used to create the digital signature.
• Registry Comparisons – Most antivirus software programs have these on a preset schedule. A clean file will be compared with a client file, in real-time, to determine if the client is or contains an unrequested executable (.exe).

Performing Rootkit Scans

Performing a rootkit scan is the best attempt for detecting rootkit infection. Most often your operating system cannot be trusted to identify a rootkit on its own and presents a challenge to determine its presence. Rootkits are master spies, covering their tracks at almost every turn and capable of remaining hidden in plain sight.

If you suspect a rootkit virus attack has taken place on your machine, a good strategy for detection would be to power down the computer and execute the scan from a known clean system. A surefire way to locate a rootkit within your machine is through a memory dump analysis. A rootkit cannot hide the instructions it gives your system as it executes them in the machine’s memory.

Using WinDbg For Malware Analysis

Microsoft Windows has provided its own multi-function debugging tool that can be used to perform debugging scans on applications, drivers, or the operating system itself. It will debug kernel-mode and user-mode code, help analyze crash dumps, and examine the CPU registers.

Some Windows systems will come with WinDbg already bundled in. Those without will need to download it from the Microsoft Store. WinDbg Preview is the more modern version of WinDbg, providing easier on the eyes visuals, faster windows, complete scripting, and the same commands, extensions, and workflows as the original.

At the bare minimum, you can use WinDbg to analyze a memory or crash dump, including a Blue Screen Of Death (BSOD). From the results, you can look for indicators of a malware attack. If you feel that one of your programs may be hindered by the presence of malware, or is using more memory than is required, you can create a dump file and use WinDbg to help analyze it.

A complete memory dump can take up significant disk space so it may be better to perform a Kernel-Mode dump or Small Memory dump instead. A Kernel-Mode dump will contain all memory usage information by the kernel at the time of the crash. A Small Memory dump will contain basic information on varying systems like drivers, the kernel, and more, but is tiny in comparison.

Small Memory dumps are more useful in analyzing why a BSOD has occurred. For detecting rootkits, a complete or kernel version will be more helpful.

Creating A Kernel-Mode Dump File

A Kernel-Mode dump file can be created in three ways:

• Enable the dump file from Control Panel to allow the system to crash on its own
• Enable the dump file from Control Panel to force the system to crash
• Use a debugger tool to create one for you

We’ll be going with choice number three. 

To perform the necessary dump file, you only need to enter the following command into the Command window of WinDbg.

Replace FileName with an appropriate name for the dump file and the “?” with an f. Make sure that the “f” is lowercase or else you’ll create a different kind of dump file.

Once the debugger has run its course (the first scan will take considerable minutes), a dump file will have been created and you’ll be able to analyze your findings.

Understanding what it is your looking for, such as volatile memory (RAM) usage, to determine the presence of a rootkit takes experience and testing. It is possible, though not recommended for a novice, to test malware discovering techniques on a live system. To do this will again take expertise and in-depth knowledge on workings of WinDbg so as not to accidentally deploy a live virus into your system.

There are safer, more beginner-friendly ways to uncover our well-hidden enemy.

Additional Scanning Methods

Manual detection and behavioral analysis are also reliable methods for detecting rootkits. Attempting to discover the location of a rootkit can be a major pain so, instead of targeting the rootkit itself, you can instead look for rootkit-like behaviors.

You can look for rootkits in downloaded software bundles by using Advanced or Custom install options during installation. What you’ll need to look for are any unfamiliar files listed in the details. These files should be discarded, or you can do a quick search online for any references to malicious software.

Firewalls and their logging reports are an incredibly effective way to discover a rootkit. The software will notify you if your network is under scrutiny, and should quarantine any unrecognizable or suspicious downloads prior to installation. 

If you suspect that a rootkit may already be on your machine, you can dive into the firewall logging reports and look for any out of the ordinary behavior.

Reviewing Firewall Logging Reports

You’ll want to review your current firewall logging reports, making an open-source application like IP Traffic Spy with firewall log filtering capabilities, a very useful tool. The reports will show you what is necessary to see should an attack occur. 

If you have a large network with a standalone egress filtering firewall, IP Traffic Spy will not be necessary. Instead, you should be able to see the inbound and outbound packets to all devices and workstations on the network via the firewall logs.

Whether you’re in a home or small business setting, you can use the modem provided by your ISP or, if you own one, a personal firewall or router to pull up the firewall logs. You’ll be able to identify the traffic for each device connected to the same network. 

It may also be beneficial to enable Windows Firewall Log files. By default, the log file is disabled meaning no information or data is written.

• To create a log file, open up the Run function by pressing the Windows key + R.
• Type wf.msc into the box and press Enter.

• In the Windows Firewall and Advanced Security window highlight “Windows Defender Firewall with Advanced Security on Local Computer” in the left side menu. On the far right side menu under “Actions” click Properties.

• In the new dialog window, navigate over to the “Private Profile” tab and select Customize, which can be found in the “Logging” section.

• The new window will allow you to select how big of a log file to write, where you’d like the file sent, and whether to log only dropped packets, successful connection, or both.

• Dropped packets are those that Windows Firewall has blocked on your behalf.
• By default, Windows Firewall log entries will only store the last 4MB of data and can be found in the %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
• Keep in mind that increasing the size limit on data usage for logs can impact your computer’s performance.
• Press OK when finished.
• Next, repeat the same steps you just went through in the “Private Profile” tab, only this time in the “Public Profile” tab.
  • Logs will now be generated for both public and private connections. You can view the files in a text editor like Notepad or import them into a spreadsheet.
  • You can now export the logs’ files into a database parser program like IP Traffic Spy to filter and sort the traffic for easy identification.

Keep an eye out for anything out of the ordinary in the log files. Even the slightest system fault can indicate a rootkit infection. Something along the lines of excessive CPU or bandwidth usage when you’re not running anything too demanding, or at all, can be a major clue.

Related posts

• Download Quick Start Guide à Windows 10 de Microsoft

• Comment utiliser Windows 10 PC - Basic Tutorial & Conseils pour débutants

• Download Windows Ink Guide pour Windows 10 à partir de Microsoft

• Apprendre à connaître Windows 10 Guide pour Employees à partir de Microsoft

• Group Policy Settings Reference Guide pour Windows 10

• Make Firefox display Media Controls sur Windows 10 Lock Screen

• Guide OTT des sauvegardes, des images système et de la récupération dans Windows 10

• Comment utiliser Performance Monitor sur Windows 10 (Detailed GUIDE)

• Comment désactiver les classes de stockage amovibles et l'accès à Windows 10

• Guide du Gestionnaire des tâches de Windows 10 - Partie I

• Comment ouvrir les fichiers .aspx sur l'ordinateur Windows 10

• Guide de dépannage ultime pour Windows 10 ne va pas dormir

• Download de Windows 10 Guides pour Beginners de Microsoft

• Créer un Keyboard Shortcut pour ouvrir votre préféré Website dans Windows 10

• Raccourcis clavier Windows 10 : le guide ultime

• Watch TV numérique et écouter Radio sur Windows 10 avec ProgDVB

• Ne peut pas se connecter à Xbox Live; Fix Xbox Live Networking issue en Windows 10

• Désactiver l'écran tactile dans Windows 10 [GUIDE]

• Comment utiliser Network Sniffer Tool PktMon.exe dans Windows 10

• Hide Toolbars option en Taskbar Context Menu en Windows 10