Comment fonctionne la détection de rootkit de nos jours?

Vous êtes probablement familier avec les virus informatiques, les logiciels publicitaires, les logiciels espions et autres programmes malveillants, qui sont pour la plupart considérés comme des menaces. Cependant, une forme ou une classe différente de malware (rootkits) pourrait être la plus dangereuse de toutes. Par «dangereux», nous entendons le niveau de dommages que le programme malveillant peut causer et la difficulté des utilisateurs à le trouver et à le supprimer.





Que sont les rootkits?

Les rootkits sont un type de logiciel malveillant conçu pour permettre aux utilisateurs non autorisés d'accéder aux ordinateurs (ou à certaines applications sur les ordinateurs). Les rootkits sont programmés pour rester cachés (hors de vue) tout en conservant un accès privilégié. Une fois qu'un rootkit pénètre dans un ordinateur, il masque facilement sa présence et il est peu probable que les utilisateurs le remarquent.

Comment un rootkit nuit-il à un PC?

Essentiellement, grâce à un rootkit, les cybercriminels peuvent contrôler votre ordinateur. Avec un programme malveillant aussi puissant, ils peuvent forcer votre PC à faire n'importe quoi. Ils peuvent voler vos mots de passe et autres informations sensibles, suivre toutes les activités ou opérations en cours d'exécution sur votre ordinateur et même désactiver votre programme de sécurité.

Étant donné les capacités impressionnantes des rootkits à détourner ou à bloquer les applications de sécurité, ils sont assez difficiles à détecter ou à affronter, encore plus que le programme malveillant moyen. Les rootkits peuvent exister ou fonctionner sur des ordinateurs pendant une longue période tout en échappant à la détection et en causant des dommages importants.



Parfois, lorsque des rootkits avancés sont en jeu, les utilisateurs n'ont d'autre choix que de tout supprimer sur leur ordinateur et de tout recommencer - s'ils veulent se débarrasser des programmes malveillants.

Chaque malware est-il un rootkit?

Non. Au contraire, seule une petite proportion des malwares sont des rootkits. Comparés à d'autres programmes malveillants, les rootkits sont considérablement avancés en termes de conception et de programmation. Les rootkits peuvent faire beaucoup plus que les logiciels malveillants moyens.

Si nous devons suivre des définitions techniques strictes, alors un rootkit n'est pas exactement une forme ou un type de programme malveillant. Les rootkits correspondent simplement au processus utilisé pour déployer des logiciels malveillants sur une cible (généralement un ordinateur, un individu ou une organisation spécifique). Naturellement, étant donné que les rootkits apparaissent assez souvent dans l'actualité au sujet des cyberattaques ou des hacks, le terme en est venu à avoir une connotation négative.



Pour être honnête, les rootkits fonctionnent de manière assez similaire aux logiciels malveillants. Ils aiment opérer sans restrictions sur les ordinateurs des victimes; ils ne veulent pas que les services de protection les reconnaissent ou les trouvent; ils essaient généralement de voler des choses sur l'ordinateur cible. En fin de compte, les rootkits sont des menaces. Par conséquent, ils doivent être bloqués (pour les empêcher d'entrer en premier lieu) ou adressés (s'ils ont déjà trouvé leur chemin).

Pourquoi les rootkits sont-ils utilisés ou choisis?

Les attaquants utilisent des rootkits à de nombreuses fins, mais la plupart du temps, ils essaient de les utiliser pour améliorer ou étendre les capacités de furtivité des logiciels malveillants. Avec une furtivité accrue, les charges utiles malveillantes déployées sur un ordinateur peuvent rester non détectées plus longtemps pendant que les mauvais programmes travaillent pour exfiltrer ou supprimer des données d'un réseau.

Les rootkits sont très utiles dans la mesure où ils fournissent un moyen pratique ou une plate-forme par laquelle des acteurs non autorisés (pirates informatiques ou même des représentants du gouvernement) obtiennent un accès détourné aux systèmes. Les rootkits atteignent généralement l'objectif décrit ici en subvertissant les mécanismes de connexion pour forcer les ordinateurs à leur donner un accès secret pour une autre personne.



Les rootkits peuvent également être déployés pour compromettre ou submerger un ordinateur afin de permettre à l'attaquant de prendre le contrôle et d'utiliser l'appareil comme un outil pour effectuer certaines tâches. Par exemple, les pirates ciblent les appareils avec des rootkits et les utilisent comme des robots pour les attaques DDoS (Distributed Denial of Service). Dans un tel scénario, si la source du DDoS est jamais détectée et tracée, cela conduira à l'ordinateur compromis (la victime) au lieu du véritable ordinateur responsable (l'attaquant).

Les ordinateurs compromis qui participent à de telles attaques sont communément appelés ordinateurs zombies. Les attaques DDoS ne sont pas les seules mauvaises choses que les attaquants font avec des ordinateurs compromis. Parfois, les pirates utilisent les ordinateurs de leurs victimes pour commettre des fraudes au clic ou pour diffuser du spam.

Il est intéressant de noter qu'il existe des scénarios où les rootkits sont déployés par des administrateurs ou des individus ordinaires à de bonnes fins, mais les exemples de tels sont encore assez rares. Nous avons vu des rapports sur certaines équipes informatiques exécutant des rootkits dans un pot de miel pour détecter ou reconnaître des attaques. Eh bien, de cette façon, s'ils réussissent les tâches, ils peuvent améliorer leurs techniques d'émulation et leurs applications de sécurité. Ils pourraient également acquérir des connaissances, qu'ils pourraient ensuite appliquer pour améliorer les dispositifs de protection antivol.



Néanmoins, si jamais vous avez affaire à un rootkit, il y a de fortes chances que le rootkit soit utilisé contre vous (ou vos intérêts). Par conséquent, il est important que vous appreniez à détecter les programmes malveillants de cette classe et à vous défendre (ou défendre votre ordinateur) contre eux.

Types de rootkits

Il existe différentes formes ou types de rootkits. Nous pouvons les classer en fonction de leur mode d'infection et du niveau auquel ils fonctionnent sur les ordinateurs. Eh bien, voici les types de rootkit les plus courants:

  1. Rootkit en mode noyau:

Les rootkits en mode noyau sont des rootkits conçus pour insérer des logiciels malveillants dans le noyau des systèmes d'exploitation afin de modifier la fonctionnalité ou la configuration du système d'exploitation. Par «noyau», nous entendons la partie centrale du système d'exploitation qui contrôle ou relie les opérations entre le matériel et les applications.

Les attaquants ont du mal à déployer des rootkits en mode noyau car ces rootkits ont tendance à provoquer le plantage des systèmes si le code utilisé échoue. Cependant, s'ils réussissent un jour à réussir le déploiement, les rootkits pourront faire des dégâts incroyables car les noyaux possèdent généralement les niveaux de privilèges les plus élevés au sein d'un système. En d'autres termes, avec des rootkits en mode noyau performants, les attaquants peuvent facilement se déplacer avec les ordinateurs de leurs victimes.

  1. Rootkit en mode utilisateur:

Les rootkits de cette classe sont ceux qui sont exécutés en agissant comme des programmes ordinaires ou réguliers. Ils ont tendance à fonctionner dans le même environnement que celui où les applications s'exécutent. Pour cette raison, certains experts en sécurité les appellent des rootkits d'application.

Les rootkits en mode utilisateur sont relativement plus faciles à déployer (que les rootkits en mode noyau), mais ils sont capables d'en faire moins. Ils font moins de dégâts que les rootkits du noyau. Les applications de sécurité, en théorie, trouvent également plus facile de gérer les rootkits en mode utilisateur (par rapport à d'autres formes ou classes de rootkits).

  1. Bootkit (rootkit de démarrage):

Les bootkits sont des rootkits qui étendent ou améliorent les capacités des rootkits classiques en infectant le Master Boot Record. Les petits programmes qui sont activés lors des démarrages du système constituent le Master Boot Record (qui est parfois abrégé en MBR). Un bootkit est essentiellement un programme qui attaque le système et s'efforce de remplacer le chargeur de démarrage normal par une version piratée. Un tel rootkit est activé avant même que le système d’exploitation d’un ordinateur ne démarre et s’installe.

Compte tenu du mode d’infection des bootkits, les attaquants peuvent les employer dans des formes d’attaque plus persistantes, car ils sont configurés pour s’exécuter lorsqu’un système s’active (même après une réinitialisation défensive). En outre, ils ont tendance à rester actifs dans la mémoire système, un emplacement rarement analysé par les applications de sécurité ou les équipes informatiques pour détecter les menaces.

  1. Rootkit de mémoire:

Un rootkit de mémoire est un type de rootkit conçu pour se cacher dans la RAM d’un ordinateur (acronyme de Random Access Memory, qui est la même chose que la mémoire temporaire). Ces rootkits (une fois dans la mémoire) fonctionnent alors pour exécuter des opérations nuisibles en arrière-plan (sans que les utilisateurs les sachent).

Heureusement, les rootkits de mémoire ont tendance à avoir une courte durée de vie. Ils ne peuvent vivre dans la RAM de votre ordinateur que pendant une session. Si vous redémarrez votre PC, ils disparaîtront - du moins, en théorie, ils le devraient. Néanmoins, dans certains scénarios, le processus de redémarrage n'est pas suffisant; les utilisateurs peuvent finir par devoir faire un peu de travail pour se débarrasser des rootkits de mémoire.

  1. Rootkit matériel ou micrologiciel:

Les rootkits matériels ou micrologiciels tirent leur nom de l'endroit où ils sont installés sur les ordinateurs.

Ces rootkits sont connus pour tirer parti des logiciels intégrés dans le micrologiciel des systèmes. Le micrologiciel fait référence à la classe de programme spéciale qui fournit un contrôle ou des instructions à un niveau bas pour un matériel (ou un périphérique) spécifique. Par exemple, votre ordinateur portable possède un micrologiciel (généralement le BIOS) qui y a été chargé par son fabricant. Votre routeur possède également un micrologiciel.

Étant donné que les rootkits de micrologiciel peuvent exister sur des périphériques tels que des routeurs et des lecteurs, ils peuvent rester cachés très longtemps - car ces périphériques matériels sont rarement vérifiés ou inspectés pour l'intégrité du code (même s'ils sont vérifiés du tout). Si des pirates informatiques infectent votre routeur ou votre lecteur avec un rootkit, ils pourront alors intercepter les données transitant par l'appareil.

Comment se protéger des rootkits (conseils pour les utilisateurs)

Même les meilleurs programmes de sécurité luttent encore contre les rootkits, il vaut donc mieux faire tout ce qui est nécessaire pour empêcher les rootkits d'entrer dans votre ordinateur en premier lieu. Il n'est pas si difficile de rester en sécurité.

Si vous respectez les meilleures pratiques de sécurité, les chances que votre ordinateur soit infecté par un rootkit sont considérablement réduites. En voici quelques uns:

  1. Téléchargez et installez toutes les mises à jour:

Vous ne pouvez tout simplement pas vous permettre d'ignorer les mises à jour pour quoi que ce soit. Oui, nous comprenons que les mises à jour des applications peuvent être ennuyeuses et que les mises à jour de la version de votre système d'exploitation peuvent être dérangeantes, mais vous ne pouvez pas vous en passer. La mise à jour de vos programmes et de votre système d'exploitation garantit que vous obtenez des correctifs pour les failles de sécurité ou les vulnérabilités dont les attaquants profitent pour injecter des rootkits dans votre ordinateur. Si les trous et les vulnérabilités sont fermés, votre PC sera meilleur pour cela.

  1. Attention aux e-mails de phishing:

Les e-mails de phishing sont généralement envoyés par des escrocs qui cherchent à vous inciter à leur fournir vos informations personnelles ou vos informations sensibles (informations de connexion ou mots de passe, par exemple). Néanmoins, certains e-mails de phishing encouragent les utilisateurs à télécharger et installer certains logiciels (qui sont généralement malveillants ou nuisibles).

Ces e-mails peuvent sembler provenir d'un expéditeur légitime ou d'une personne de confiance, vous devez donc faire attention à eux. Ne leur répondez pas. Ne cliquez sur rien (liens, pièces jointes, etc.).

  1. Méfiez-vous des téléchargements au volant et des installations involontaires:

Ici, nous voulons que vous fassiez attention aux éléments téléchargés sur votre ordinateur. Vous ne voulez pas obtenir de fichiers malveillants ou de mauvaises applications qui installent des programmes malveillants. Vous devez également faire attention aux applications que vous installez, car certaines applications légitimes sont regroupées avec d'autres programmes (qui peuvent être malveillants).

Idéalement, vous ne devriez obtenir que les versions officielles des programmes à partir des pages officielles ou des centres de téléchargement, faire les bons choix lors des installations et faire attention aux processus d'installation de toutes les applications.

  1. Installez un utilitaire de protection:

Si un rootkit doit pénétrer dans votre ordinateur, alors son entrée est susceptible d'être liée à la présence ou à l'existence d'un autre programme malveillant sur votre ordinateur. Il y a de fortes chances qu'une bonne application antivirus ou antimalware détecte la menace d'origine avant qu'un rootkit ne soit introduit ou activé.

Vous pouvez obtenir Anti-Malware. Vous ferez bien de faire confiance à l'application recommandée car de bons programmes de sécurité constituent toujours votre meilleure défense contre toutes les formes de menaces.

Comment détecter les rootkits (et quelques conseils pour les organisations et les administrateurs informatiques)

Il existe peu d'utilitaires capables de détecter et de supprimer les rootkits. Même les applications de sécurité compétentes (connues pour gérer de tels programmes malveillants) ont parfois du mal ou ne parviennent pas à faire le travail correctement. Les échecs de suppression de rootkit sont plus courants lorsque le malware existe et fonctionne au niveau du noyau (rootkits en mode noyau).

Parfois, la réinstallation du système d'exploitation sur une machine est la seule chose qui peut être faite pour se débarrasser d'un rootkit. Si vous avez affaire à des rootkits de micrologiciel, vous devrez peut-être remplacer certaines pièces matérielles à l'intérieur de l'appareil concerné ou vous procurer un équipement spécialisé.

L'un des meilleurs processus de détection des rootkits exige que les utilisateurs exécutent des analyses de haut niveau pour les rootkits. Par «analyse de niveau supérieur», nous entendons une analyse exécutée par un système de nettoyage distinct lorsque la machine infectée est hors tension. En théorie, une telle analyse devrait suffire à vérifier les signatures laissées par les attaquants et devrait être en mesure d'identifier ou de reconnaître un acte criminel sur le réseau.

Vous pouvez également utiliser une analyse de vidage de la mémoire pour détecter les rootkits, en particulier si vous pensez qu'un bootkit - qui se verrouille sur la mémoire système pour fonctionner - est impliqué. S'il y a un rootkit dans le réseau d'un ordinateur ordinaire, il ne sera probablement pas caché s'il exécute des commandes impliquant l'utilisation de la mémoire - et Managed Service Provider (MSP) pourra voir les instructions que le programme malveillant envoie .

L'analyse du comportement est une autre procédure ou méthode fiable qui est parfois utilisée pour détecter ou suivre les rootkits. Ici, au lieu de rechercher un rootkit directement en vérifiant la mémoire système ou en observant les signatures d'attaque, vous devez rechercher les symptômes du rootkit sur l'ordinateur. Des choses comme des vitesses de fonctionnement lentes (considérablement plus lentes que la normale), un trafic réseau étrange (qui ne devrait pas être là) et d'autres modèles de comportement déviants courants devraient laisser les rootkits loin.

Les fournisseurs de services de gestion peuvent en fait déployer le principe des moindres privilèges (PoLP) en tant que stratégie spéciale dans les systèmes de leurs clients pour traiter ou atténuer les effets d'une infection de rootkit. Lorsque PoLP est utilisé, les systèmes sont configurés pour restreindre chaque module sur un réseau, ce qui signifie que les modules individuels n'ont accès qu'aux informations et aux ressources dont ils ont besoin pour leur travail (à des fins spécifiques).

Eh bien, la configuration proposée assure une sécurité plus stricte entre les bras d'un réseau. Il fait également assez pour bloquer l'installation de logiciels malveillants sur les noyaux du réseau par des utilisateurs non autorisés, ce qui signifie qu'il empêche les rootkits de s'introduire et de causer des problèmes.

Heureusement, en moyenne, les rootkits sont en déclin (par rapport au volume d'autres programmes malveillants qui ont proliféré au cours des dernières années) car les développeurs améliorent continuellement la sécurité des systèmes d'exploitation. Les défenses des points de terminaison se renforcent et un plus grand nombre de processeurs (ou processeurs) sont conçus pour utiliser des modes de protection du noyau intégrés. Néanmoins, actuellement, les rootkits existent toujours et ils doivent être identifiés, résiliés et supprimés partout où ils se trouvent.