 |
|
|
| |
|
|
| Sommaire Sécurité |
|
| Les rootkits renforcent leur furtivité |
| Annonciateur d'une nouvelle génération de codes malveillants invisibles, le dernier rootkit découvert par des chercheurs en sécurité laisse craindre une complexification croissante de leur détection.
(19/07/2006) |
|
Découvert par deux éditeurs de solutions de sécurité, Symantec et F-Secure, un nouveau type de rootkit ne se montrerait pas avare d'efforts pour dissimuler sa présence sur les PC, grâce à des aptitudes avancées de polymorphie.
Baptisé "Backdoor.Rustock.A" par Symantec, le rootkit se camoufle à l'intérieur d'un pilote Windows au format SYS, lui aussi polymorphe. Une capacité qu'il emploie afin de modifier son comportement et de passer inaperçu des applications de détection installées sur le poste contaminé.
Même si Symantec et F-Secure indiquent que leurs logiciels de sécurité reconnaissent le rootkit, sa détection n'est toutefois pas assurée. Elle pourra s'avérer particulièrement ardue une fois que le rootkit a été installé. Ce dernier exploite notamment plusieurs fonctions, dont ADS (Alternate Data Streams) du système de fichier NTFS de Windows, pour se dissimuler.
Le processus de détection consiste en général à analyser les changements intervenus sur le noyau dans le but de détecter les entrées non autorisées, ou encore à contrôler les processus actifs en mémoire. Rustock, lui, ne repose sur aucun processus du système d'exploitation. En outre, il efface les traces de son passage dans le kernel (noyau).
Selon les deux éditeurs, ce rootkit peut être considéré comme le premier né d'une nouvelle génération de codes malveillants invisibles. Probablement développé en Russie, plusieurs lignes de codes semblent indiquer que d'autres versions de ce même rootkit verront le jour au cours des mois à venir.
Conçus pour passer inaperçus, les rootkits permettent de prendre le contrôle d'un ordinateur, tout en masquant leur présence. Leur nombre a explosé depuis plusieurs mois.
| Polymorphie et aptitudes accrues à la dissimulation |
Le laboratoire d'alerte de l'éditeur McAfee aurait ainsi enregistré une hausse de 700 % du nombre de rootkits entre les premiers trimestres 2005 et 2006 (lire : "Les rootkits : nouvelle plaie de la sécurité informatique" du 19/04/2006). Plus de 827 technologies furtives ont été détectées pour le seul premier trimestre de cette année, contre 70 un an plus tôt.
L'utilisation des rootkits n'a désormais plus grand-chose à voir avec ce qu'elle était initialement. Réservés aux administrateursn dans l'optique de posséder des droits de "super-utilisateur" sur les processus système grâce à une exécution directement sur le noyau du système d'exploitation, les rootkits sont à présent un outil de plus dans l'arsenal des pirates.
Et c'est justement cet ancrage au cur même du système - et le fait qu'ils disposent de droits accrus -, qui rendent les rootkits si difficiles à détecter, puis à éliminer. Au point que Microsoft conseillait récemment de réinstaller l'OS sur un PC contaminé, afin de garantir l'intégrité du système.
Combinés avec d'autres codes malveillants, les rootkits peuvent en effet empêcher le lancement d'antivirus ou forcer l'exécution d'un programme déjà installé sur le poste. F-Secure soulignait d'ailleurs, dans une interview accordée à nos confrères d'Eweek, le phénomène de convergence entre rootkits, virus, vers et bots, citant les exemples récents de Rbot, Sober.P et Myfip.H.
Pour se protéger et se prémunir contre toute installation d'un rootkit, les spécialistes en sécurité recommandent l'application des correctifs de sécurité, la mise à jour des antivirus et l'activation d'un pare-feu (lire l'article du 19/05/2005).
|
| |
| |
|
|
|
|
|
|
Dossier 
