Vous êtes sur la page 1sur 12

ROOTKIT -MALWARE

ROOTKIT

• Collection d'outils (programmes) qui permettent un accès


de niveau administrateur à un ordinateur ou à un réseau
informatique qui n'est pas autrement autorisé.
• et masque souvent son existence ou l'existence d'autres
logiciels
A quoi cela sert?

• Fournir à un attaquant un accès complet via des techniques


de porte dérobée.
• Dissimulez les autres logiciels malveillants.
• Appropriez la machine compromise en tant qu'ordinateur
zombie pour les attaques sur d'autres ordinateurs.
• Protection anti-vol Rootkits non hostile,Application de
DRM, amélioration du logiciel d'émulation et des logiciels
de sécurité
Rootkit Attack
• Maintenir l'accès
• SSH (pour les script kiddies)
• Shell inversé (un peu inhabituel si les serveurs établissent des connexions)
• Porte dérobée de canal secret - un système de signaux enfoui dans un champ
arbitraire d'un protocole complètement inoffensif.
• Détruiser les preuves
• Désactiver l'historique du shell (par exemple Linux - désinstaller HISTFILE;
exporter HISTFILE = /dev/null)
• Tuer le démon syslog et geler le journal système
• Modifier les fichiers journaux
• Attaquer d'autres systems
• Local attack tools Cracking de mot de passe, racine de capture et accès , accès
aux machines
• Remote attack tools – Scanners et Auto-rooters
• DOS tools –Mener une attaque DOS sur un serveur distant
• Nettoyer le système hôte des infections précédentes
• More than one rootkit can cause system instability and compromise the rootkit
Historique

• Les premiers rootkits sont apparus en 1994 sur Linux et 


SunOS ; en 1998, sous Windows, avec le célèbre 
Back Orifice; et en 2004 apparaissait le premier rootkit
sous Mac OS X, WeaponX.
• Scandale des rootkits de protection contre la copie de
Sony BMG.
• Cas d'écoute électronique en Grèce 2004-2005
Types de rootkits

• Mode utilisateur: exécuté sur un ordinateur avec des


privilèges d'administrateur
• Mode noyau: installé au même niveau que le système
d'exploitation des PC.(bootkit)
• Niveau de l'hyperviseur:
• Firmware et matériel: créez un code malveillant dans le
firmware pendant que votre ordinateur est éteint
Types de détection de rootkit
• Moyen de confiance alternatif: redémarrer l'ordinateur à partir d'un autre média de
confiance(flash usb…)

• Basé sur le comportement:recherchant un comportement semblable à celui d'un rootkit(pare-


feu,analyseur de packets…)

• Basé sur la signature:(ou "empreinte digitale")


• Basé sur les differences:peut détecter les rootkits compare les données brutes "fiables" avec le
contenu "corrompu" renvoyé par une API(Rootkit-Revealer).

• Vérification d'intégrité: la signature de code utilise une infrastructure à clé publique pour


vérifier si un fichier a été modifié depuis sa signature numérique par son éditeur(rkhunter,fonction
d’hachage cryptographique).

• Vidages de mémoire: virtuelle va capturer un rootkit actif (ou un 


vidage du noyau dans le cas d'un rootkit en mode noyau), ce qui permet
d'effectuer une analyse judiciaire hors ligne avec un débogueur sur le 
fichier de vidage résultant , sans que le rootkit puisse prendre toutes les mesures
pour se couvrir.
Suppression de Rootkit

• les outils de suppression d'antivirus et de logiciels


malveillants:
• sont capables de détecter et de supprimer certaines classes de
rootkits.
• peuvent être inefficaces en mode noyau bien écrits.

• La reconstruction du système est la MEILLEURE solution!


• Nettoyez l'infection
• Désactiver le rootkit
• Démarrez avec un support de confiance et supprimez les ressources
du rootkit.
Exemples

• Rootkits Sony
• Exploitation de la vulnérabilité de LPRng
• Back Orifice
• TDL-4
Prévention

• Ne vous fiez pas à la fonctionnalité de «renommage» offerte par


certains détecteurs de rootkits
• Il n'a peut-être pas détecté tous les composants d'un rootkit
• Le renommage peut ne pas être efficace
• La première étape de la prévention de Rootkit consiste à s'exécuter en
mode utilisateur moins privilégié.
• Utilisation de la commande sc dans Windows XP. Cela verrouille la
base de données du service Windows.
• Utiliser l'outil HIPS (Host based Intrusion Prevention System) comme
AntiHook
• Utilisez un outil comme Sandboxie qui crée un environnement de
type sandbox dans lequel nous pouvons exécuter n'importe quel
programme
Références

• http://www.spamlaws.com/how-rootkits-work.html
• www.en.wikipedia.org
• http://swatrant.blogspot.com/2006/02/rootkit-detection-r
emoval-and.html
• http://www.dbaoracle.com/forensics/t_forensics_network
_attack.htm
• http://technet.microsoft.com/en-us/library/cc512642.asp
x
• http://www.windowsitpro.com/article/antivirus/defendin
Merci 

Vous aimerez peut-être aussi