Comment fonctionne la détection des rootkits de nos jours ?

Publié: 2020-05-22

Vous connaissez probablement les virus informatiques, les logiciels publicitaires, les logiciels espions et autres programmes malveillants, qui sont pour la plupart considérés comme des menaces. Cependant, une autre forme ou classe de logiciels malveillants (rootkits) pourrait être le plus dangereux de tous. Par « dangereux », nous entendons le niveau de dommages que le programme malveillant peut causer et la difficulté qu'ont les utilisateurs à le trouver et à le supprimer.

Que sont les rootkits ?

Les rootkits sont un type de malware conçu pour permettre aux utilisateurs non autorisés d'accéder aux ordinateurs (ou à certaines applications sur les ordinateurs). Les rootkits sont programmés pour rester cachés (hors de vue) tout en conservant un accès privilégié. Une fois qu'un rootkit a pénétré dans un ordinateur, il masque facilement sa présence et il est peu probable que les utilisateurs le remarquent.

Comment un rootkit nuit-il à un PC ?

Essentiellement, grâce à un rootkit, les cybercriminels peuvent contrôler votre ordinateur. Avec un programme malveillant aussi puissant, ils peuvent forcer votre PC à faire n'importe quoi. Ils peuvent voler vos mots de passe et autres informations sensibles, suivre toutes les activités ou opérations en cours d'exécution sur votre ordinateur et même désactiver votre programme de sécurité.

Compte tenu des capacités impressionnantes des rootkits à détourner ou à supprimer des applications de sécurité, ils sont assez difficiles à détecter ou à affronter, encore plus que le programme malveillant moyen. Les rootkits peuvent exister ou fonctionner sur des ordinateurs pendant une longue période tout en échappant à la détection et en causant des dommages importants.

Parfois, lorsque des rootkits avancés sont en jeu, les utilisateurs n'ont d'autre choix que de tout supprimer sur leur ordinateur et de tout recommencer - s'ils veulent se débarrasser des programmes malveillants.

Chaque malware est-il un rootkit ?

Non. Au contraire, seule une petite proportion des logiciels malveillants sont des rootkits. Par rapport à d'autres programmes malveillants, les rootkits sont considérablement avancés en termes de conception et de programmation. Les rootkits peuvent faire beaucoup plus que le malware moyen.

Si nous devons suivre des définitions techniques strictes, un rootkit n'est pas exactement une forme ou un type de programme malveillant. Les rootkits correspondent simplement au processus utilisé pour déployer des logiciels malveillants sur une cible (généralement un ordinateur ou un individu ou une organisation spécifique). Naturellement, puisque les rootkits apparaissent assez souvent dans les nouvelles sur les cyberattaques ou les piratages, le terme en est venu à avoir une connotation négative.

Pour être honnête, les rootkits fonctionnent de manière assez similaire aux logiciels malveillants. Ils aiment opérer sans restrictions sur les ordinateurs des victimes ; ils ne veulent pas que les utilitaires de protection les reconnaissent ou les trouvent ; ils essaient généralement de voler des éléments de l'ordinateur cible. En fin de compte, les rootkits sont des menaces. Par conséquent, ils doivent être bloqués (pour les empêcher d'entrer en premier lieu) ou adressés (s'ils ont déjà trouvé leur chemin).

Pourquoi les rootkits sont-ils utilisés ou choisis ?

Les attaquants utilisent des rootkits à de nombreuses fins, mais la plupart du temps, ils essaient de les utiliser pour améliorer ou étendre les capacités furtives des logiciels malveillants. Avec une furtivité accrue, les charges utiles malveillantes déployées sur un ordinateur peuvent rester non détectées plus longtemps tandis que les programmes malveillants travaillent pour exfiltrer ou supprimer des données d'un réseau.

Les rootkits sont très utiles dans la mesure où ils fournissent un moyen pratique ou une plate-forme par laquelle des acteurs non autorisés (pirates ou même représentants du gouvernement) accèdent par une porte dérobée aux systèmes. Les rootkits atteignent généralement l'objectif décrit ici en subvertissant les mécanismes de connexion pour forcer les ordinateurs à leur donner un accès de connexion secret à une autre personne.

Les rootkits peuvent également être déployés pour compromettre ou submerger un ordinateur afin de permettre à l'attaquant de prendre le contrôle et d'utiliser l'appareil comme un outil pour effectuer certaines tâches. Par exemple, les pirates ciblent les appareils avec des rootkits et les utilisent comme robots pour les attaques DDoS (Distributed Denial of Service). Dans un tel scénario, si la source du DDoS est détectée et tracée, cela conduira à l'ordinateur compromis (la victime) au lieu du véritable ordinateur responsable (l'attaquant).

Les ordinateurs compromis qui participent à de telles attaques sont communément appelés ordinateurs zombies. Les attaques DDoS ne sont pas les seules mauvaises choses que les attaquants font avec des ordinateurs compromis. Parfois, les pirates utilisent les ordinateurs de leurs victimes pour commettre des fraudes au clic ou pour diffuser du spam.

Fait intéressant, il existe des scénarios où les rootkits sont déployés par des administrateurs ou des individus ordinaires à de bonnes fins, mais les exemples de tels sont encore assez rares. Nous avons vu des rapports sur certaines équipes informatiques exécutant des rootkits dans un pot de miel pour détecter ou reconnaître les attaques. Eh bien, de cette façon, s'ils réussissent les tâches, ils peuvent améliorer leurs techniques d'émulation et leurs applications de sécurité. Ils pourraient également acquérir des connaissances qu'ils pourraient ensuite appliquer pour améliorer les dispositifs de protection antivol.

Néanmoins, si jamais vous avez affaire à un rootkit, il y a de fortes chances que le rootkit soit utilisé contre vous (ou vos intérêts). Par conséquent, il est important que vous appreniez à détecter les programmes malveillants de cette classe et à vous défendre (ou à protéger votre ordinateur) contre eux.

Types de rootkits

Il existe différentes formes ou types de rootkits. Nous pouvons les classer en fonction de leur mode d'infection et du niveau auquel ils opèrent sur les ordinateurs. Eh bien, voici les types de rootkits les plus courants :

  1. Rootkit en mode noyau :

Les rootkits en mode noyau sont des rootkits conçus pour insérer des logiciels malveillants dans le noyau des systèmes d'exploitation afin de modifier la fonctionnalité ou la configuration du système d'exploitation. Par « noyau », nous entendons la partie centrale du système d'exploitation qui contrôle ou relie les opérations entre le matériel et les applications.

Les attaquants ont du mal à déployer des rootkits en mode noyau car ces rootkits ont tendance à faire planter les systèmes si le code utilisé échoue. Cependant, s'ils parviennent à réussir le déploiement, les rootkits pourront faire des dégâts incroyables car les noyaux possèdent généralement les niveaux de privilèges les plus élevés au sein d'un système. En d'autres termes, avec des rootkits en mode noyau réussis, les attaquants se déplacent facilement avec les ordinateurs de leurs victimes.

  1. Rootkit en mode utilisateur :

Les rootkits de cette classe sont ceux qui sont exécutés en agissant comme des programmes ordinaires ou réguliers. Ils ont tendance à fonctionner dans le même environnement où les applications s'exécutent. Pour cette raison, certains experts en sécurité les appellent des rootkits d'application.

Les rootkits en mode utilisateur sont relativement plus faciles à déployer (que les rootkits en mode noyau), mais ils sont capables de moins. Ils font moins de dégâts que les rootkits du noyau. Les applications de sécurité, en théorie, ont également plus de facilité à gérer les rootkits en mode utilisateur (par rapport à d'autres formes ou classes de rootkits).

  1. Bootkit (rootkit de démarrage):

Les bootkits sont des rootkits qui étendent ou améliorent les capacités des rootkits classiques en infectant le Master Boot Record. Les petits programmes qui sont activés lors des démarrages du système constituent le Master Boot Record (qui est parfois abrégé en MBR). Un bootkit est essentiellement un programme qui attaque le système et remplace le chargeur de démarrage normal par une version piratée. Un tel rootkit est activé avant même que le système d'exploitation d'un ordinateur ne démarre et ne s'installe.

Compte tenu du mode d'infection des bootkits, les attaquants peuvent les utiliser dans des formes d'attaques plus persistantes car ils sont configurés pour s'exécuter lorsqu'un système démarre (même après une réinitialisation défensive). De plus, ils ont tendance à rester actifs dans la mémoire système, qui est un emplacement rarement analysé par les applications de sécurité ou les équipes informatiques à la recherche de menaces.

  1. Rootkit mémoire :

Un rootkit de mémoire est un type de rootkit conçu pour se cacher dans la RAM d'un ordinateur (un acronyme pour Random Access Memory, qui est la même chose que la mémoire temporaire). Ces rootkits (une fois dans la mémoire) fonctionnent ensuite pour exécuter des opérations nuisibles en arrière-plan (sans que les utilisateurs ne le sachent).

Heureusement, les rootkits de mémoire ont tendance à avoir une courte durée de vie. Ils ne peuvent vivre que dans la RAM de votre ordinateur pour une session. Si vous redémarrez votre PC, ils disparaîtront - du moins, en théorie, ils devraient le faire. Néanmoins, dans certains scénarios, le processus de redémarrage n'est pas suffisant ; les utilisateurs peuvent finir par devoir faire du travail pour se débarrasser des rootkits de mémoire.

  1. Rootkit matériel ou firmware :

Les rootkits matériels ou micrologiciels tirent leur nom de l'endroit où ils sont installés sur les ordinateurs.

Ces rootkits sont connus pour tirer parti des logiciels intégrés au micrologiciel des systèmes. Le micrologiciel fait référence à la classe de programme spéciale qui fournit un contrôle ou des instructions à un niveau bas pour un matériel (ou un périphérique) spécifique. Par exemple, votre ordinateur portable dispose d'un micrologiciel (généralement le BIOS) qui a été chargé par son fabricant. Votre routeur a aussi un firmware.

Étant donné que les rootkits de micrologiciels peuvent exister sur des périphériques tels que des routeurs et des lecteurs, ils peuvent rester cachés très longtemps, car ces périphériques matériels sont rarement vérifiés ou inspectés pour l'intégrité du code (s'ils sont même vérifiés du tout). Si des pirates infectent votre routeur ou votre lecteur avec un rootkit, ils seront alors en mesure d'intercepter les données qui transitent par l'appareil.

Comment rester à l'abri des rootkits (conseils pour les utilisateurs)

Même les meilleurs programmes de sécurité luttent toujours contre les rootkits, vous feriez donc mieux de faire tout ce qui est nécessaire pour empêcher les rootkits d'entrer dans votre ordinateur en premier lieu. Il n'est pas si difficile de rester en sécurité.

Si vous respectez les meilleures pratiques de sécurité, les risques d'infection de votre ordinateur par un rootkit sont considérablement réduits. En voici quelques uns:

  1. Téléchargez et installez toutes les mises à jour :

Vous ne pouvez tout simplement pas vous permettre d'ignorer les mises à jour pour quoi que ce soit. Oui, nous comprenons que les mises à jour des applications peuvent être ennuyeuses et que les mises à jour de la version de votre système d'exploitation peuvent être dérangeantes, mais vous ne pouvez pas vous en passer. La mise à jour de vos programmes et de votre système d'exploitation garantit que vous obtenez des correctifs pour les failles de sécurité ou les vulnérabilités dont les attaquants profitent pour injecter des rootkits dans votre ordinateur. Si les trous et les vulnérabilités sont fermés, votre PC s'en portera mieux.

  1. Attention aux e-mails de phishing :

Les e-mails de phishing sont généralement envoyés par des escrocs qui cherchent à vous inciter à leur fournir vos informations personnelles ou des détails sensibles (identifiants de connexion ou mots de passe, par exemple). Néanmoins, certains e-mails de phishing encouragent les utilisateurs à télécharger et à installer certains logiciels (généralement malveillants ou nuisibles).

Ces e-mails peuvent sembler provenir d'un expéditeur légitime ou d'une personne de confiance, vous devez donc les surveiller. Ne leur répondez pas. Ne cliquez sur rien qui s'y trouve (liens, pièces jointes, etc.).

  1. Méfiez-vous des téléchargements intempestifs et des installations involontaires :

Ici, nous voulons que vous fassiez attention aux éléments qui sont téléchargés sur votre ordinateur. Vous ne voulez pas obtenir de fichiers malveillants ou de mauvaises applications qui installent des programmes malveillants. Vous devez également faire attention aux applications que vous installez car certaines applications légitimes sont regroupées avec d'autres programmes (qui peuvent être malveillants).

Idéalement, vous ne devriez obtenir que les versions officielles des programmes à partir des pages officielles ou des centres de téléchargement, faire les bons choix lors des installations et faire attention aux processus d'installation de toutes les applications.

  1. Installez un utilitaire de protection :

Si un rootkit doit s'introduire dans votre ordinateur, son entrée est susceptible d'être liée à la présence ou à l'existence d'un autre programme malveillant sur votre ordinateur. Il y a de fortes chances qu'une bonne application antivirus ou antimalware détecte la menace d'origine avant qu'un rootkit ne soit introduit ou activé.

CONSEILLÉ

Protégez votre PC contre les menaces avec Anti-Malware

Vérifiez sur votre PC les logiciels malveillants que votre antivirus pourrait manquer et supprimez les menaces en toute sécurité avec Auslogics Anti-Malware

Auslogics Anti-Malware est un produit d'Auslogics, certifié Microsoft Silver Application Developer
TÉLÉCHARGER MAINTENANT

Vous pouvez obtenir Auslogics Anti-Malware. Vous ferez bien de faire confiance à l'application recommandée, car de bons programmes de sécurité constituent toujours votre meilleure défense contre toutes les formes de menaces.

Comment détecter les rootkits (et quelques conseils pour les organisations et les administrateurs informatiques)

Il existe peu d'utilitaires capables de détecter et de supprimer les rootkits. Même les applications de sécurité compétentes (connues pour traiter de tels programmes malveillants) ont parfois du mal ou ne parviennent pas à faire le travail correctement. Les échecs de suppression des rootkits sont plus fréquents lorsque le logiciel malveillant existe et fonctionne au niveau du noyau (rootkits en mode noyau).

Parfois, la réinstallation du système d'exploitation sur une machine est la seule chose à faire pour se débarrasser d'un rootkit. Si vous avez affaire à des rootkits de micrologiciels, vous devrez peut-être remplacer certaines pièces matérielles à l'intérieur de l'appareil concerné ou vous procurer un équipement spécialisé.

L'un des meilleurs processus de détection de rootkit nécessite que les utilisateurs exécutent des analyses de haut niveau pour les rootkits. Par « analyse de niveau supérieur », nous entendons une analyse effectuée par un système propre distinct pendant que la machine infectée est éteinte. En théorie, une telle analyse devrait suffire à vérifier les signatures laissées par les attaquants et devrait être en mesure d'identifier ou de reconnaître un jeu déloyal sur le réseau.

Vous pouvez également utiliser une analyse de vidage mémoire pour détecter les rootkits, en particulier si vous soupçonnez qu'un bootkit - qui se verrouille sur la mémoire système pour fonctionner - est impliqué. S'il y a un rootkit dans le réseau d'un ordinateur ordinaire, il ne sera probablement pas caché s'il exécute des commandes impliquant l'utilisation de la mémoire - et le fournisseur de services gérés (MSP) pourra voir les instructions que le programme malveillant envoie. .

L'analyse du comportement est une autre procédure ou méthode fiable qui est parfois utilisée pour détecter ou suivre les rootkits. Ici, au lieu de rechercher un rootkit directement en vérifiant la mémoire système ou en observant les signatures d'attaque, vous devez rechercher les symptômes du rootkit sur l'ordinateur. Des choses comme des vitesses de fonctionnement lentes (considérablement plus lentes que la normale), un trafic réseau étrange (qui ne devrait pas être là) et d'autres modèles de comportement déviants courants devraient révéler les rootkits.

Les fournisseurs de services de gestion peuvent en fait déployer le principe des moindres privilèges (PoLP) en tant que stratégie spéciale dans les systèmes de leurs clients pour traiter ou atténuer les effets d'une infection rootkit. Lorsque PoLP est utilisé, les systèmes sont configurés pour restreindre chaque module sur un réseau, ce qui signifie que les modules individuels n'ont accès qu'aux informations et aux ressources dont ils ont besoin pour leur travail (à des fins spécifiques).

Eh bien, la configuration proposée assure une sécurité plus stricte entre les bras d'un réseau. Il en fait également assez pour bloquer l'installation de logiciels malveillants sur les noyaux du réseau par des utilisateurs non autorisés, ce qui signifie qu'il empêche les rootkits de s'introduire et de causer des problèmes.

Heureusement, en moyenne, les rootkits sont en déclin (par rapport au volume d'autres programmes malveillants qui ont proliféré au cours des dernières années) car les développeurs améliorent continuellement la sécurité des systèmes d'exploitation. Les défenses des terminaux se renforcent et un plus grand nombre de processeurs (ou processeurs) sont conçus pour utiliser des modes de protection intégrés du noyau. Néanmoins, actuellement, les rootkits existent toujours et ils doivent être identifiés, supprimés et supprimés partout où ils se trouvent.