4 replies to this topic

[Txon]

Tests des défenses préventives (pare-feux surtout)

• Leaktest (Steve Gibson - grc.com)
• Firewall Leak Tester (Guillaume Kadouch)

Tests général des communications de votre PC

• Shields UP! (Steve Gibson - grc.com) : partage de fichiers (file sharing) , ports ouverts (common ports, all services ports) etc.

Tests des défenses essentiellement curatives (scanners d'antimaliciels)

• PC Security Test

  Reconnu par certains antivirus comme un malware, ce logiciel a sans doute pour objectif de vous inciter à l'achat des solutions de sécurité de AxBx. Il n'en demeure pas moins un premier moyen pour savoir si vos protections sont suffisantes.

Test partiel mais simple pour tous

Testez vos défenses (hormis les antivirus) et faites-nous part de votre expérience.

Effectuez les essais de chaque logiciel séparément, en désactivant un moment les autres.

Plan général à adapter suivant les circonstances

1 - Caractéristiques générales. (1)

• A quoi sert ce logiciel (catégorie d'utilitaire, éventuellement « mixte » = HIPS + HIDS)
• Avec quelles plateformes Windows fonctionne-t-il? Nécessite-t-il ou non une installation?
• Qu'est ce qui le compose ... processus, drivers, clés de Registre ... quels crochetages pratique-t-il etc.
• Établit-il des communications extérieure autres que celles qui sont nécessaires aux mises à jour (logiciel ou base de connaissance)
• Combien de mémoire utilise-t-il au minimum et en "crête" (éventuellement % d'utilisation du CPU bien que cette donnée soit très variable d'un CPU à l'autre).

2 – Test de résistance à la désactivation. (2)
Les maliciels les plus agressifs neutralisent ou même "tuent" les processus des logiciels de protection (dès le mois de juin 2006, le rootkit "pe386" contournait les défenses de Kaspersky, F-Secure, BitDefender etc.).
Pour savoir si le logiciel testé résiste convenablement il suffit d'essayer d'interrompre son(ses) processus actif(s) avec des utilitaires cités plus bas.

3 - Test des rootkits / drivers. (3) à (7)
Les maliciels les mieux conçus comportent un module exécutable de lancement et des modules secondaires, drivers et/ou bibliothèques souvent autonomes du lanceur et qui sont réinstallés par le système lui-même selon les injonctions d'une clé mise dans le Registre. Fréquemment, le module de lancement est activé automatiquement au cours d'un passage dans un site web piégé ou par l'acceptation d'une pièce jointe à un email laissant libre l'installation des drivers et autres modules autonomes.
Beaucoup de logiciels de défense se préoccupent du blocage des processus initiaux et beaucoup moins de ceux des modules secondaires et les plus anciens sont inefficaces contre les maliciels cachés par des rootkits. L'idée est donc de tester tout produit par injection de rootkits dont l'élément déterminant est un driver et non pas le module de lancement.
Pourquoi utiliser des rootkits qu'il faut lancer "manuellement" ? Parce que c'est plus simple et pratique pour le test. De plus ça correspond bien au débutant qui accepte une pièce jointe ou entre dans un site piégé alors qu'il ne bénéficie pas de l'isolation d'un bac à sable ...

4 - Comment utiliser ce logiciel (mode opératoire).

• Au quotidien (fonctions essentielles)
• Occasionnellement (autres fonctions intéressantes).

Cette partie peut-être abrégée ...

• s'il existe déjà de nombreux tutoriels en langue française auxquels on peut se référer,
• si les essais décrits ci-dessous démontrent que le logiciel n'est pas à la hauteur.

Précautions préalables

... liste non exhaustive ...

Tester un logiciel, c'est risquer des incompatibilités mais aussi la corruption du système d'exploitation de son PC . Afin d'éviter cela, il est possible de procéder aux essais à l'intérieur d'un système d'isolation. Le logiciel Sandboxie limite cependant les activités de certains logiciels qui requièrent des droit élevés. Une grand majorité des utilitaires de défense ne pourront donc pas être testés au sein de cette sandbox.

Le testeur devra donc prendre d'autres précautions ...

• Au moins, disposer d'un CD/DVD de réinstallation de Windows et des logiciels de base réalisé avec un logiciel comme nLite (Windows XP) ou vLite (Windows Vista).
• Pour les PC puissants (au moins 1Go de mémoire), il existe bien entendu la solution d'une machine virtuelle gratuite comme VirtualBox ... présentation (fr - Kachouri)
• Pour tous, il pourra être pratique de compter sur plusieurs partitions systèmes( et un multiboot), dont une partition réservée aux essais, ce qui laisse la possibilité d'un rapide « retour à une base saine ».

…\…

[Txon]

.../...

Moyens disponibles

... liste non exhaustive ...

[1] Utilitaires pour obtenir les renseignements de base

• Informations élémentaires SIW
• Processus, drivers, crochetages etc. IceSword, Process Explorer, RkUnhooker et Seem
• Communications Internet : Microsoft network monitor, TCPView ... Seem et SIW déjà cités,
• Registre Windows : Regmon, RegShot ... Seem et IceSword déjà cités pour les clés de démarrage.

[2] Interruption de(s) processus du logiciel testé.

... l'éventuelle utilisation par les auteurs de maliciels d'une technique parfaitement documentée pour interrompre une application de sécurité, nuirait considérablement à la sécurité globale ...

Après le gestionnaire de tâches de Windows, vous pouvez essayer ...

• ProcX de « gkweb » (Guillaume Kaddouch)
• Advanced Process Termination ... de diamondcs ... Advanced process Manipulation « manipulation » d'un processus
• IceSword, RkUnhooker et Seem déjà cités ci-dessus et HideToolz ci dessous.

Notez bien quel outil a pu interrompre le fonctionnement en précisant éventuellement l'option utilisée (ex.: l'option "force kill" de RkU)


[3] Utilitaires de chargement de drivers (dans le noyau) ...

• Driver Loader de OSR Online, pour Windows 2000, XP SP1, .NET ... pour des drivers non « PnP »
• Driver Install Utility (« Windows NT Device Driver Installer ») ... un outil pour gérer les « drivers » : installation, démarrage, arrêt ... de Beyond Logic (*) ... se met en place avec l’appellation « installer.exe » dans votre PC.

(*) Beyond Logic de Pittsburgh (Pennsylvania - USA) propose gratuitement toute une série d’outils déjà anciens en grande majorité, mais parfois rares et très utiles.

Essais de rootkits inoffensifs

/!\ ... Certains antivirus mal informés peuvent considérer que les outils et rootkits ci-dessous sont des virus (ou autres maliciels) dangereux ... /!\

Il n'en est rien! Obligez votre antivirus à les télécharger!

[4] Rootkits « de base » driver sans danger, à lancer soi-même ...

« fhide.sys » n’est pas un rootkit malsain comme beaucoup d’autres. C’est un simple « driver » de démonstration, fait pour tester les capacités de détection des systèmes de défense.
• Il n’est pas dangereux ...
  • « fhide » n’est pas un secret confidentiel. De nombreux antivirus et quelques autres outils ont intégré sa signature dans leur base.
  • Ne soyez pas étonné ou ravi si l’un de de vos outils veut empêcher son téléchargement et/ou sa décompression. Forcez le à le faire.
  • « fhide » n’est pas autonome. Pour l’activer, il faut utiliser un « lanceur » comme « Driver Install Utility » de Beyond Logic.
• En démarrant « fhide » de cette manière ([Install] puis [Start]), vous simulez le lancement d’un rootkit par n’importe quel artifice, fichier malsain collecté sur internet, DRM etc.
  C’est n’est qu’alors que les réactions de vos systèmes de défense sont intéressantes.
  • Si elles ne détectent rien, elles sont perméables. Mauvais signe pour le futur, mais il vous suffit de désactiver « fhide » avec « Driver Install Utility » et de redémarrer votre PC.
  • Si elles détectent « fhide », signalez-nous quel outil a su le « voir »
• Plus disponible sur le site d'origine, mais téléchargeable sur Infomars >>> fhide + install driver.zip <<< ici en compagnie du lanceur de drivers de Beyond Logic.

...

When you load the "fhide.sys" and start it, it will automatically rename itself to "driver.sys" and hide the file ...
fhide.sys has only one functionality : hide the file "driver.sys"...

…\…

[Txon]

.../...

/!\ ... Certains antivirus mal informés peuvent considérer que les outils et rootkits ci-dessous sont des virus (ou autres maliciels) dangereux ... /!\

Il n'en est rien! Obligez votre antivirus à les télécharger!

[5] RkU Test Rootkit - RkUnhooker test rootkit 1.2 de MP_ART © - août 2006

• Description :
  • ''rkstart.exe'' est la partie utilisateur du rootkit.
  • Vous pouvez entendre le speaker du PC émettre des ''beeps'' lorsque le rootkit fonctionne.
  • ''Rkdemo12.sys'' est le driver résident. Il simule des menaces (mais elles n'existent pas dans son cas).
  • Vous pouvez le voir avec -> DbgView de Mark Russinovich
  • Il ne cache aucun fichier et ne crée pas de clé dans le Registre.
• Notes
  DarSpy le voit dans les [Processus] et l'interrompt par [Force Kill] mais le risque d'instabilité du système est élevé..
  Pour l'arrêter, il suffit au choix ...
  • D'utiliser la procédure [Force Kill] sur le processus marqué ''Hiden from Windows API'' de RkUnhooker
  • De redémarrer le système
• Limites de ce rootkit
  • Comme ses « collègues » ''fhide.sys'' et ''ntqsi.sys'', ''RkU Test Rootkit'' n'essaie pas d'imposer le lancement de son driver au démarrage de Windows. Il attend gentiment que vous le sollicitiez.
    Quand vous le lancez, il doit bien sûr crocheter le noyau du système pour atteindre son objectif de furtivité. Un utilitaire de défense activé avant lui et qui analyserait correctement les tables du noyau pour détecter en temps réel la moindre modification devrait logiquement le repérer à ce moment là. Le développement des bons H-IPS va dans ce sens.
    La recherche des intrus par des outils utilisés après l'installation des rootkits (H-IDS) est encore plus complexe.
  • C'est surtout le principe qui compte. Imaginez ce qui arriverait si ce rootkit était malintentionné et se lançait prioritairement au démarrage du système. Imaginez aussi que son driver soit lancé par le DRM d'un DVD piégé ou tout autre programme à l'air innocent.
  • Ce rootkit, le plus ancien publié par l'équipe de Rootkit Unhooker, est maintenant un peu dépassé et tous les « bons » antirootkits devraient détecter le lancement de ce driver et l'empêcher.

... ... ...

Téléchargement ... RkU Test Rootkit n'est plus disponible sur le site de Rootkit Unhooker, mais il est téléchargeable sur Infomars >>> rku_demo_v12.zip.


[6] Rootkit « Unreal » version A (1.0.1.0) de e MP_ART © - janvier 2007 ...

• Description Unreal cache son processus dans les "ADS" (Alternate Data Stream) du disque système et le driver unreal.sys (C:\:unreal.sys) se cache lui-même à l'aide d'un "DKOM" (Direct Kernel Object Manipulation). Aucune crainte à l'utiliser, il est complètement inoffensif. Il ne sert aux utilisateurs qu'à tester les capacités de réaction de leurs défenses en cas de pénétration d'un rootkit comparable.
• Installation
  Rien de plus simple ... lancez l'exécutable puis confirmez en cliquant sur [Install Rootkit]
  
  ... ... ...
  
  Testez vos défenses ...
• Désinstallation
  Simple aussi ... relancez-le puis cliques une première fois sur [Uninstall Rootkit], redémarrez le système, relancer l'exécutable et cliquez une deuxième fois sur [Uninstall Rootkit]
  
  
• Limites ... Ce rootkit a été rendu public fin janvier 2007. Il est intéressant de voir quand les utilitaires disponibles sauront le détecter et le(s)quel(s) pourront l'éradiquer sans avoir à utiliser le désinstallateur fourni par l'équipe de Rootkit Unhooker...
  (voir le débat sur rootkit.com -> Unreal.A, bypassing modern Antirootkits)

Téléchargement ... Unreal.A n'est plus disponible sur le site de Rootkit Unhooker, mais il est téléchargeable sur Infomars >>> Unreal_rootkit_1.0.1.0.zip.

…\…

[Txon]

.../...

/!\ ... Certains antivirus mal informés peuvent considérer que les outils et rootkits ci-dessous sont des virus (ou autres maliciels) dangereux ... /!\

Il n'en est rien! Obligez votre antivirus à les télécharger!

[7] HideToolz de Ms-Rem ...

Sujet déplacé -> ICI


Il faut se rappeler qu'un bon antirootkit ne devrait pas accepter sans broncher qu'un logiciel quel qu'il soit cache [Hide] un processus sous son nez . Il devrait aussi être protégé contre une interruption intempestive [Kill]. Essayez HideToolz avec les logiciels de défense de votre choix !

…\…

[Txon]

.../...

/!\ ... BadRKDemo n'est pas aussi stable que les autres rootkits proposés ici. ... /!\

/!\ ... BSoD Warning ... /!\

/!\ ... A utiliser avec précaution , de préférence dans une partition spéciale de test ... /!\

[8] BadRKDemo de CardMagic, auteur de Darkspy.

• Description :
  • ''badrkdemo.exe'' est l'exécutable qu'il faut lancer « manuellement » pour tester la réactivité des logiciels de protection. Il lance un driver et implante une clé de démarrage dans le Registre.
  • ''BadRKDemo.sys'' est le driver résident, caché dans %SystemRoot%\system32\
  • Une clé est injectée dans la ruche HKEY LOCAL MACHINE du Registre Windows ... HKLM\SYSTEM\ControlSetxxx\Services\#BadRKDemo# avec une valeur ''Start'' = 0 et un ''ImagePath'' du driver pour qu'il soit lancé automatiquement dans le noyau au démarrage du système. Elle est protégée contre toute manipulation par une grande majorité d'utilitaires, y compris IceSword, tant que le driver est actif.
  • Une clé protégée par le système, HKLM \ SYSTEM \ ControlSetxxx \ Enum \ Root\LEGACY_#BadRKDemo# n'est pas vraiment préoccupante. Elle pourra être éradiquée après la neutralisation du driver.
• Notes ... DarSpy voit ''BadRKDemo.sys'' dans son [Driver Module] et accède à la clé du Registre dans son module [Registry]. Rootkit Unhooker le voit dans son module [Hidden Drivers Detector] mais n'a pas d'accès au Registre.
  ...
• Interruption ... Pour interrompre le fonctionnement du driver en limitant les risques de BSoD, la solution la plus efficace est d'utiliser le logiciel DarkSpy ...
  • Entrez dans le module [Registry] et choisissez la ruche HKEY_LOCAL_MACHINE\SYSTEM.
  • Cliquez sur le bouton de la fonction [Online Analyze].
  • Dérouler l'arborescence du Registre jusqu'à la clé ControlSetXXX\services\#BadRKDemo#
  • Dans la fenêtre de droite, effectuez un « click droit » sur ''Start'' dont la valeur est à 0. Dans la petite fenêtre qui s'ouvre, choisir l'option [Edit]
    
  • Un nouvelle fenêtre s'ouvre qui permet de changer la valeur 0. Remplacez-la par le chiffe 3 qui indique au système que le lancement du driver indiqué dans ''ImagePath'' ne devra pas être effectué au prochain démarrage du système.
  • Cliquez sur [Sure] pour confirmer le changement.
  • Quittez DarkSpy et redémarrez votre PC.
  • Une fois ce nouvel amorçage effectué, le rootkit est inactif. Ses composants sur le disque et dans le Registre ne sont ni cachés ni protégés. Ils sont facilement effaçables. Pour les clés du registre en particulier, IceSword est très efficace.
    ...
• Limites de ce rootkit
  BadRKDemo a été développé à la fin du printemps 2006. Il devrait absolument être stoppé par tout bon ARK. L'implantation de sa clé de démarrage dans le Registre est à surveiller tout particulièrement

Téléchargement ... BadRKDemo n'a pas de site officiel, mais il est téléchargeable sur Infomars >>> badrkdemo.zip.



[9] Autres rootkits.
Plusieurs rootkits célèbres, dont Vanquish (open source) sont disponibles sur le site rootkit.com

*-*-*-*-*-*-* *-*-*-*-*-*-* *-*-*-*-*-*-* *-*-*-*-*-*-*

Ce dossier sera complété en fonction de vos demandes de précisions ou d'autres outils et méthodes de test ou encore grâce aux résultats de vos essais.

Veuillez faire part de vos réflexions et tests, et poser vos questions dans le sujet réservé à cet effet ...

>>> ICI <<<

@+