par [Vous devez être inscrit et connecté pour voir cette image]
Rootkits - La nouvelle tendance de Malware
Depuis quelque temps, une nouvelle définition rôde à nouveau dans le
monde médiatique de l'informatique: Rootkits. Ce qui sonne pour des
profanes comme quelque chose que vous achèteriez dans un magasin de
jardinage n'a en fait rien à voir avec l'agriculture. Le terme provient
en fait du monde Unix, où "root" est l'utilisateur avec le plus haut
niveau de privilèges d'accès, l'équivalent à "l'Administrateur" du
système Windows. Les Rootkits ont déjà existé pour la famille des
systèmes Unix/Linux depuis déjà quelque temps, mais la tendance a
également atteint les utilisateurs de Windows déjà traumatisés.
Toutefois, dans le vrai sens du mot, nous commençons à la racine de la
matière.
Comme déjà mentionné, les utilisateurs avec les privilèges "root" /
"Administrateur" ont un accès illimité au système d'exploitation. Ceci
est d'autant plus intéressant pour les attaquants et les programmes mal
intentionnés d'obtenir et de conserver l'accès à ces droits. Il est un
fait que tout changement, et tous les accès au système peuvent être
reconnus d'une certaine manière, soit par le changement de la date dans
un fichier, une entrée dans le fichier journal ou soit un nouveau
processus en cours d'exécution, les possibilités sont infinies. En tant
qu'attaquant habile, je préfère naturellement rester inaperçue et encore
conserver l'accès à la machine de ma victime. Alors, que dois-je
faire ? - J'invente le Rootkit.
Un Rootkit doit donc avoir les droits d'accès d'un pirate. Cela se
fait par la dissimulation des traces créées dans le système
d'exploitation, de sorte que le vrai administrateur ne peut pas détecter
l'intrus. Il existe essentiellement deux types différents de Rootkits.
Alors que les "Rootkits du noyau" ajoutent généralement leur propre code
(et parfois leurs propres structures de données) à des parties du noyau
du système d'exploitation (le "noyau"), le soi-disant "Rootkits en mode
utilisateur" est particulièrement ciblé pour Windows.
Les "Rootkits en mode utilisateur", sont soit lancés comme un
programme dans des conditions normales au démarrage du système soit
injecté dans le système par un soi-disant "Trojan-Installateur"
(Trojan-Dropper). Les méthodes exactes possibles sont relativement
nombreuses et dépendent fortement du système d'exploitation utilisé -
tandis que les Rootkits sous Windows manipulent spécialement certaines
fonctions de base des fichiers DLL de Windows, dans les systèmes Unix
une application complète est souvent remplacée.
Une fois démarré, le Rootkit s'acquitte de la tâche pour lequel il a
été conçu - la suppression des traces dans le système d'exploitation.
Ici aussi, les variations sont aussi nombreuses que les possibilités de
rechercher un intrus. Pour citer un exemple très simple : Windows a une
fonction intégrée chargée de lister le contenu des dossiers. Le rootkit
peut modifier cette fonction de base ("API") afin que le nom du fichier
contenant le Rootkit ne soit jamais affiché - et ce fichier devient
soudainement invisible pour l'utilisateur normal. Par la manipulation
des autres APIs de Windows, et non seulement les fichiers et les
dossiers peuvent être dissimulés, mais également, des programmes en
cours d'utilisation, l'ouverture des ports de réseau de communication
qui sont utilisés, ou des clés de registre. Bien sûr, ce ne sont que
quelques-unes des nombreuses capacités de camouflage utilisées par les
rootkits.
Nous arrivons maintenant à un fait qui peut à première vue sembler
être un peu paradoxal : les Rootkits en eux-mêmes ne sont pas dangereux.
Leur seul but est de cacher les logiciels et les traces laissées dans
le système d'exploitation. Si ceci est un logiciel normal, ou un
programme malveillant comme les portes dérobées, c'est hors de propos.
Un bel exemple de cela est un système de protection de CD contre la
copie de la compagnie Sony BMG, qui a été analysé en détail à la fin de
2005. Le spécialiste de Windows Mark Russinovich a découvert que la
simple utilisation d'un CD protégé avec ce système a provoqué
l'installation automatique d'un petit morceau de logiciel, sans
l'approbation de l'utilisateur, qui ne figurait pas dans la liste des
processus et ne pouvait pas être désinstallé, autrement dit, il se
cachait lui-même de l'utilisateur. Ce logiciel de système anti-copie a
été à l'origine prévu pour empêcher un acheteur de CD de musique de lire
les données audio de n'importe quelle façon et puis de les redistribuer
probablement illégalement.
Tout de suite après le faux pas de Sony BMG, les Rootkits ont
fortement gagné en popularité. Dans ce cas-ci, le Rootkit lui-même et
pas le logiciel caché de système anti-copie, ont présenté réellement un
danger indirect. Des programmeurs ingénieux peuvent utiliser les
fonctionnalités de base du Rootkit de Sony BMG l'installé sur un
ordinateur pour cacher leur propre logiciel (malveillant). Dans ce cas,
dans un marché déjà douteux et de système de protection anti-copie
agressive, Sony a omis les précautions de sécurité nécessaires pour
s'assurer que seuls leurs propres fichiers pouvaient être cachés. Ce
système permet à tout utilisateur malveillant de dissimuler leurs
propres logiciels malveillants avec l'aide du Rootkit de Sony,
simplement en utilisant certaines variables.
Sony s'est sortie de toute cette histoire qu'avec un œil au beurre
noir. Les CDs de musique avec la protection contre la copie
susmentionnée ont été échangés gratuitement dans une campagne de rappel.
Jusqu'à ce jour, les conséquences juridiques de cette erreur ne sont
toujours pas éclaircies et de nombreux clients aux États-Unis ont déjà
menacé de poursuites judiciaires.
Toutefois, ceci peut être intéressant, un danger beaucoup plus grand
est représenté par les soi-disant "Hybrides". Un hybride est
généralement décrit comme un croisement entre deux ou plusieurs types de
programmes malveillants, par exemple un virus avec un ver. Un exemple
bien connu d'un hybride entre un ver et un virus est le ver "Magistr"
qui sema la terreur, il y a quelques années. Naturellement, en principe
imaginable, et partiellement déjà présent, sont les hybrides de Rootkit
qui renforce un parasite déjà existant avec les possibilités de
camouflage d'un Rootkit. Plusieurs de ces Rootkits hybrides sont déjà
connus. Le Trojan Optix Pro par exemple, a déjà possédé des fonctions de
Rootkit pendant plusieurs années afin de cacher sa présence dans un PC
infecté. Les vers aussi, comme les nouvelles variantes récentes du ver
Bagle, se servent des techniques de Rootkit pour cacher leur présence.
Dans un futur proche, il est probable que nous allons lire et
entendre beaucoup plus sur les Rootkits. On peut considérer cela comme
une "évolution de la sécurité" normale, où la protection croissante des
programmes de sécurité et les trous de sécurité colmatés forcent une
augmentation de la créativité des attaquants. La détection et le blocage
de la technologie de rootkit représentent une tâche difficile parce
que, selon le créateur, un Rootkit déjà installé peut également se
cacher des scanneurs de virus et autres systèmes de désinfection.
D'autre part, des systèmes infectés doivent être d'abord détectés et
analysés de sorte que des signatures appropriées et des modèles de
comportement puissent être créés - qui sera de peu d'utilités à la
prochaine attaque par la prochaine génération de parasites.
Le célèbre système d'Emsisoft Anti-Malware avec son Malware-IDS
(Intrusion Detection System) utilise une approche complètement
différente. L'innovant Malware-IDS est utilisé pour reconnaître l'accès à
des fonctions importantes du système et offre la possibilité d'empêcher
ceci. C'est pourquoi, Emsisoft Anti-Malware, est parfaitement
indépendant des signatures et le met en position pour effectivement se
défendre efficacement contre les derniers Rootkits. Les avantages de
cette architecture avant-gardiste ont déjà été démontrés par le fait
qu'il y a plus d'un an, l'exécution des Rootkits alors presque inconnus a
été stoppée avec succès par Emsisoft Anti-Malware.
Rootkits - La nouvelle tendance de Malware
Depuis quelque temps, une nouvelle définition rôde à nouveau dans le
monde médiatique de l'informatique: Rootkits. Ce qui sonne pour des
profanes comme quelque chose que vous achèteriez dans un magasin de
jardinage n'a en fait rien à voir avec l'agriculture. Le terme provient
en fait du monde Unix, où "root" est l'utilisateur avec le plus haut
niveau de privilèges d'accès, l'équivalent à "l'Administrateur" du
système Windows. Les Rootkits ont déjà existé pour la famille des
systèmes Unix/Linux depuis déjà quelque temps, mais la tendance a
également atteint les utilisateurs de Windows déjà traumatisés.
Toutefois, dans le vrai sens du mot, nous commençons à la racine de la
matière.
Comme déjà mentionné, les utilisateurs avec les privilèges "root" /
"Administrateur" ont un accès illimité au système d'exploitation. Ceci
est d'autant plus intéressant pour les attaquants et les programmes mal
intentionnés d'obtenir et de conserver l'accès à ces droits. Il est un
fait que tout changement, et tous les accès au système peuvent être
reconnus d'une certaine manière, soit par le changement de la date dans
un fichier, une entrée dans le fichier journal ou soit un nouveau
processus en cours d'exécution, les possibilités sont infinies. En tant
qu'attaquant habile, je préfère naturellement rester inaperçue et encore
conserver l'accès à la machine de ma victime. Alors, que dois-je
faire ? - J'invente le Rootkit.
Un Rootkit doit donc avoir les droits d'accès d'un pirate. Cela se
fait par la dissimulation des traces créées dans le système
d'exploitation, de sorte que le vrai administrateur ne peut pas détecter
l'intrus. Il existe essentiellement deux types différents de Rootkits.
Alors que les "Rootkits du noyau" ajoutent généralement leur propre code
(et parfois leurs propres structures de données) à des parties du noyau
du système d'exploitation (le "noyau"), le soi-disant "Rootkits en mode
utilisateur" est particulièrement ciblé pour Windows.
Les "Rootkits en mode utilisateur", sont soit lancés comme un
programme dans des conditions normales au démarrage du système soit
injecté dans le système par un soi-disant "Trojan-Installateur"
(Trojan-Dropper). Les méthodes exactes possibles sont relativement
nombreuses et dépendent fortement du système d'exploitation utilisé -
tandis que les Rootkits sous Windows manipulent spécialement certaines
fonctions de base des fichiers DLL de Windows, dans les systèmes Unix
une application complète est souvent remplacée.
Une fois démarré, le Rootkit s'acquitte de la tâche pour lequel il a
été conçu - la suppression des traces dans le système d'exploitation.
Ici aussi, les variations sont aussi nombreuses que les possibilités de
rechercher un intrus. Pour citer un exemple très simple : Windows a une
fonction intégrée chargée de lister le contenu des dossiers. Le rootkit
peut modifier cette fonction de base ("API") afin que le nom du fichier
contenant le Rootkit ne soit jamais affiché - et ce fichier devient
soudainement invisible pour l'utilisateur normal. Par la manipulation
des autres APIs de Windows, et non seulement les fichiers et les
dossiers peuvent être dissimulés, mais également, des programmes en
cours d'utilisation, l'ouverture des ports de réseau de communication
qui sont utilisés, ou des clés de registre. Bien sûr, ce ne sont que
quelques-unes des nombreuses capacités de camouflage utilisées par les
rootkits.
Nous arrivons maintenant à un fait qui peut à première vue sembler
être un peu paradoxal : les Rootkits en eux-mêmes ne sont pas dangereux.
Leur seul but est de cacher les logiciels et les traces laissées dans
le système d'exploitation. Si ceci est un logiciel normal, ou un
programme malveillant comme les portes dérobées, c'est hors de propos.
Un bel exemple de cela est un système de protection de CD contre la
copie de la compagnie Sony BMG, qui a été analysé en détail à la fin de
2005. Le spécialiste de Windows Mark Russinovich a découvert que la
simple utilisation d'un CD protégé avec ce système a provoqué
l'installation automatique d'un petit morceau de logiciel, sans
l'approbation de l'utilisateur, qui ne figurait pas dans la liste des
processus et ne pouvait pas être désinstallé, autrement dit, il se
cachait lui-même de l'utilisateur. Ce logiciel de système anti-copie a
été à l'origine prévu pour empêcher un acheteur de CD de musique de lire
les données audio de n'importe quelle façon et puis de les redistribuer
probablement illégalement.
Tout de suite après le faux pas de Sony BMG, les Rootkits ont
fortement gagné en popularité. Dans ce cas-ci, le Rootkit lui-même et
pas le logiciel caché de système anti-copie, ont présenté réellement un
danger indirect. Des programmeurs ingénieux peuvent utiliser les
fonctionnalités de base du Rootkit de Sony BMG l'installé sur un
ordinateur pour cacher leur propre logiciel (malveillant). Dans ce cas,
dans un marché déjà douteux et de système de protection anti-copie
agressive, Sony a omis les précautions de sécurité nécessaires pour
s'assurer que seuls leurs propres fichiers pouvaient être cachés. Ce
système permet à tout utilisateur malveillant de dissimuler leurs
propres logiciels malveillants avec l'aide du Rootkit de Sony,
simplement en utilisant certaines variables.
Sony s'est sortie de toute cette histoire qu'avec un œil au beurre
noir. Les CDs de musique avec la protection contre la copie
susmentionnée ont été échangés gratuitement dans une campagne de rappel.
Jusqu'à ce jour, les conséquences juridiques de cette erreur ne sont
toujours pas éclaircies et de nombreux clients aux États-Unis ont déjà
menacé de poursuites judiciaires.
Toutefois, ceci peut être intéressant, un danger beaucoup plus grand
est représenté par les soi-disant "Hybrides". Un hybride est
généralement décrit comme un croisement entre deux ou plusieurs types de
programmes malveillants, par exemple un virus avec un ver. Un exemple
bien connu d'un hybride entre un ver et un virus est le ver "Magistr"
qui sema la terreur, il y a quelques années. Naturellement, en principe
imaginable, et partiellement déjà présent, sont les hybrides de Rootkit
qui renforce un parasite déjà existant avec les possibilités de
camouflage d'un Rootkit. Plusieurs de ces Rootkits hybrides sont déjà
connus. Le Trojan Optix Pro par exemple, a déjà possédé des fonctions de
Rootkit pendant plusieurs années afin de cacher sa présence dans un PC
infecté. Les vers aussi, comme les nouvelles variantes récentes du ver
Bagle, se servent des techniques de Rootkit pour cacher leur présence.
Dans un futur proche, il est probable que nous allons lire et
entendre beaucoup plus sur les Rootkits. On peut considérer cela comme
une "évolution de la sécurité" normale, où la protection croissante des
programmes de sécurité et les trous de sécurité colmatés forcent une
augmentation de la créativité des attaquants. La détection et le blocage
de la technologie de rootkit représentent une tâche difficile parce
que, selon le créateur, un Rootkit déjà installé peut également se
cacher des scanneurs de virus et autres systèmes de désinfection.
D'autre part, des systèmes infectés doivent être d'abord détectés et
analysés de sorte que des signatures appropriées et des modèles de
comportement puissent être créés - qui sera de peu d'utilités à la
prochaine attaque par la prochaine génération de parasites.
Le célèbre système d'Emsisoft Anti-Malware avec son Malware-IDS
(Intrusion Detection System) utilise une approche complètement
différente. L'innovant Malware-IDS est utilisé pour reconnaître l'accès à
des fonctions importantes du système et offre la possibilité d'empêcher
ceci. C'est pourquoi, Emsisoft Anti-Malware, est parfaitement
indépendant des signatures et le met en position pour effectivement se
défendre efficacement contre les derniers Rootkits. Les avantages de
cette architecture avant-gardiste ont déjà été démontrés par le fait
qu'il y a plus d'un an, l'exécution des Rootkits alors presque inconnus a
été stoppée avec succès par Emsisoft Anti-Malware.
» oui madame !
» ça pique !!!
» C’est mathématiquement, philosophiquement idiot !
» Le saviez-vous?Au 19ème siècle, la cocaïne était utilisée pour traiter la dépression et les maux de dents !
» gentil toutou
» oh oui !
» bon appétit
» Le saviez-vous?La reconnaissance de soi chez les animaux
» la méprise
» oh oui !
» la dictée
» Le saviez-vous?Le détenteur du record du monde de tir à l’arc n’a pas de bras !
» heureusement qu'elle est la !
» dessous de table !
» c'est très bien
» Le saviez-vous? La plus petite guitare du monde a la taille d’un globule rouge !
» affreux !!!
» le marque-pages
» merci du conseil
» Le saviez-vous?En 2008, une plage a été volée en Jamaïque, tout le sable a été dérobé !
» coooooool
» bonne question !
» chère Dr
» Le saviez-vous?Au 19ème siècle, en Grande-Bretagne, une tentative de suicide était punie par pendaison