Les six types de rootkits et comment s'en protéger

le 21/08/2008, par david Lentier avec IDG News Service, Hacking, 582 mots

Les rootkits sont susceptibles de s'installer à différents niveaux d'une machine en conjonction éventuelle avec d'autres formes d'infection. On en trouve depuis les niveaux applicatifs jusqu'aux firmwares les plus intimes, au plus près du matériel. 1. Les rookits en mode utilisateur. Ce type de rootkit est installé par l'action de l'utilisateur lui-même, lorsqu'il clique sur des liens proposés par phishing, ou en naviguant sur des pages Web infectées. Le rootkit comprend fréquemment un mode d'escalade des privilèges afin d'obtenir un accès plus profond au noyau de la machine. Se défendre : utiliser un navigateur dont les protections sont à jour, installer des anti-virus et de la prévention d'intrusion sur son terminal et des passerelles de protection sur le réseau. 2. Les rootkits en mode noyau. Les rootkits pour noyau existent pour les principaux systèmes d'exploitation. La possibilité d'un rootkit pour l'IOS de Cisco a même été démontrée. Se défendre : les anti-virus peinent à détecter ce type de rootkit, car ils fonctionnent au niveau applicatif, alors que le rootkit s'exécute au niveau du noyau. Afin de placer l'anti-malware à un niveau de privilèges supérieur à celui du noyau, on peut regarder l'anti-malware basé sur le gestionnaire de machine virtuelle récemment proposé par VMware sous le nom de VMSafe. 3. Les packages. Les rootkits tels que Rustock.C se diffusent comme des virus agissant au niveau du noyau, et lancent des « spam bots » (PC transformés en émetteurs de spam à leur insu). Ce packaging crée une certaine confusion entre ce qui est un rootkit et ce qui est un « bot » (un ordinateur contrôlé à distance). Se défendre : utiliser les outils de surveillance des performances du PC et du réseau afin de détecter les signes de virus, de bot et d'autres malwares qui effectuent des appels, ouvrent des connexions, etc ...Etant donné que ces packages peuvent désactiver les défenses des postes de travail, il faut surveiller les performances des passerelles. Il faut traquer toutes les activités anormales entrantes et surtout tous les comportements sortants. Regarder aussi le trafic chiffré, qui est utilisé afin de commander les bots via le protocole IRC. 4. Les rootkits en mode noyau et matériel. Ces rootkits persistants s'exécutent au niveau du noyau, puis ils se dissimulent dans le processeur une fois le PC éteint. Le rootkit défini par l'expert John Heassman se cache dans le firmware de l'APCI (Advanced Computer and Power Interface) et se recharge au Bios. Les packages de rootkit Gamebit utilisent cette technologie. Se défendre : à ce niveau, les technologies actuelles de protection des terminaux sont inutilisables, et un nettoyage est difficile car le rootkit se réinstalle lors du pré-boot, à la mise sous tension de la machine. Des technologies comme Trusted Platform Module Trusted Boot Process d'Intel procurent une sécurité avancée en signant les drivers. 5. Rootkits matériels.Des rootkits peuvent agir sur le système de contrôle des fonctions de base comme le mode « sleep » ou les ventilateurs (le SMM ou System Management Mode). Se défendre : En effectuant le monitoring et les diagnostics au niveau du processeur. On observe un mouvement du marché dans cette direction. 6. Les rootkits virtuels.La preuve que ce genre de rootkit peut être créé a été donnée par Joanna Rutkowska avec son « BluePill » pour les processeurs AMD. Mais on n'en a pas trouvé dans la réalité. On estime qu'ils créent plus de soucis qu'ils n'ont d'intérêt parce que les rootkits en mode noyau sont très efficaces. Se défendre : Novell et les autres fournisseurs de machines virtuelles disposent d'outils de gestion qui peuvent attraper ces machines « espions ».

Microsoft coutumier des add-on non fonctionnelles et bogées

Vendredi dernier, la firme de Redmond a reconnu qu'elle avait dû réécrire 4 des 13 add-on de sécurité publiées lors du dernier Patch Tuesday. D'après le retour des utilisateurs, même une fois installées, les...

le 18/09/2013, par Gregg Keizer, adaptation Oscar Barthe, 463 mots

Google ne crypte pas efficacement les mots de passe Wi-Fi

Lorsqu'un utilisateur d'Android réalise une sauvegarde de son système, notamment en vue d'une réinitialisation de l'appareil, la firme de Mountain View accède immédiatement au clé de son réseau WiFi privé....

le 18/09/2013, par Oscar Barthe, 367 mots

2 millions de comptes clients de Vodafone Allemagne piratés

Un salarié travaillant pour un prestataire de Vodafone Allemagne est soupçonné d'être à l'origine du vol de données concernant deux millions de clients. Cette affaire n'est pas sans rappeler, par sa...

le 16/09/2013, par Serge LEBLAL, 364 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...