4 replies to this topic

[Txon]

« News » de présentation du sujet -> RootRepeal, antirootkit et RootRepeal 1.2.3

Développé par « AD » (aka « a_d_13 »)

Un "ARK" pour Microsoft® Windows Vista®, Windows XP Professional ou Home Edition, Windows 2000 avec Service Pack 4, Windows 2003 Server
Note: Seulement pour les versions x86 de Windows.

Principales particularités, selon son auteur ...

• Facile à utiliser : un usager avec peu ou pas d'expérience en informatique peut s'en servir.
• Puissant : il devrait être en mesure de détecter tous les rootkits publiquement disponibles. Stable : il devrait fonctionner avec le plus grand nombre de configurations de systèmes possible et, en cas d'incompatibilité, ne pas planter l'ordinateur hôte.
• Sans danger. Pour se protéger, il n'utilise pas des techniques semblables à celles des rootkits (crochetages etc.)

Principales caractéristiques techniques, selon son auteur ...

• Scan des "drivers" : il balaie le système à la recherche des "drivers" dans le "noyau", affiche tous ceux qui s'y trouvent, met en évidence ceux qui sont cachés et indique si le fichier correspondant est visible sur le disque.
• Scan de fichiers : il balaie les disques fixes à la recherche de fichiers cachés, bloqués ou falsifiés(*)
• Scan des "processus" : il balaie le système pour afficher les processus en cours d'exécution et indique si le processus est caché ou bloqué.

(*) La taille des fichiers falsifiés est mal indiquée aux "API" de Windows.

RootRepeal (RR) se révèle effectivement d'emploi facile et sans danger pour l'utilisateur sous réserve que celui-ci ne se hasarde pas à des manœuvres inconsidérées sans l'avis préalable de connaisseurs, mais c'est le cas pour tous les ARKs. Il a aussi d'autres qualités : il est « portable », rapide et consomme très peu de ressources système. Il permet l'établissement de rapports qui pourront être étudiés par des spécialistes.

Par contre, dans l'état actuel et comme il est très peu intrusif, il ne se protège pas contre les maliciels qui s'attaqueraient à lui.

Même en considérant que tous les efforts ont été déployés pour assurer la compatibilité avec toutes les configurations sous les systèmes de Windows 2000, XP, 2003 et Vista, le fonctionnement de RootRepeal ne peut être garanti. Il y a toujours un risque lors d'un scan de recherche des rootkits. Avant de lancer RootRepeal, assurez-vous s'il vous plaît d'avoir les sauvegardes de tous les données importantes et de tous les documents ouverts.

Comme les autres ARKs, RootRelealer fonctionne dans un compte avec des droits d'administrateur. Si le votre n'en dispose pas ou plus, voyez -> ICI.

.../...

[Txon]

...\...

Caractéristiques aux vues des premiers essais effectués avec un système Windows XP SP2« Home edition », un système Windows XP SP2« Pro » et un système Windows XP SP3 « Pro » avec lancement depuis une clé USB.

Certaines copies d'écran ont été réalisées avec la version 1.0.2 de RR, d'autres avec la version 1.1.0 qui inclut la détection de rootkits dans la table "SSDT" et d'autres avec la version 1.2.3 (la plus complète actuellement). Veuillez corriger par vous-même.







[1] Installation ... Pas d'installation ...

Tout juste crée-t-il un fichier « settings.dat » dans le répertoire d'où il est lancé pour mémoriser les paramètres de fonctionnement, et les « logs » de scans que les utilisateurs sauvegardent.

[2] Processus et "driver"

Un seul processus, « RootRepeal.exe et un "driver" « RootRepeal.sys » que vos logiciels de défense devront laisser fonctionner.

...

[3] Vu par IceSword

Aucun crochetage dans la « SSDT » , rien à signaler dans « SPI » ni dans « Startup » ...

Juste quelques crochetages indispensables dans « Message Hooks ».

... ...

[4] Settings >>> Options Paramètres ...

... a ... [General] ... Une des trois positions doit-être choisie ...

• [Lowest level] Pour disque(s) SCSI. Ne prend pas en charge les disques dynamiques (*). Selon AD, il n'y a aucun rootkit connu de ce type à ce jour.
• [Middle level] Pour tout disque basé sur une structure de blocs. Ne prend pas en charge les disques dynamiques (*). Selon AD, il existe quelques rootkits qui agissent à bas niveau dans ce genre de structure : "AK922", le rootkit "MBR" etc.)
• [High level] Pour tous types de disques y compris les disques dynamiques (*). Selon AD, on pourrait y trouver davantage de rootkits.

(*) Volumes et disques dynamiques (Microsoft)

Dans les trois cas de figure, [X] Only show suspicious files on report permet de ne lister dans le rapport établi que les fichiers suspects quand la case est cochée.

... ...

... b ... [Driver scan] ... [Files scan] ... [Processes scan] ... [SSDT scan] (v. 1.1.0)

A première vue, aucune raison de changer les paramètres standards.

Dans le [ File Scan ], l'option [X] [ Check for file size differences ] est celle qui permet la détection des fichiers dont la taille a été modifiée comme le fait par exemple le rootkit "Rustock.C". Il est donc fortement conseillé de ne pas la désactiver.

Dans le [ SSDT scan ], l'option [X] [ Check for hooked SYSENTER/INT 2E ] permet le scan des appels au système par SYSENTER ou INT 2E.

.../...

[Txon]

...\...

[5] Choix des scans (boutons de sélection en bas, à gauche).

• Chaque option comporte deux boutons [ Scan ] pour lancer l'analyse et [ Save Report ] qui permet d'enregistrer le rapport au format « .txt » dans le répertoire choisi (éventuellement dans le répertoire de démarrage de RootRepeal).
• [ Drivers ]. Comme son nom l'indique ce scan provoque un balayage à la recherche des "drivers" présents en mémoire, et met en évidence ceux qui présentent une anomalie. Les indications fournies sont :
  • [Address] : adresse du "driver" en mémoire,
  • [Size] : taille du driver (pour une éventuelle comparaison avec la taille du driver d'origine),
  • [Hidden] : éventuelle indication de driver caché,
  • [File visible] : éventuelle indication de l'emplacement sur le disque du "driver" caché ou absence de visibilité.
  Un « click droit » sur un "driver" suspect sélectionné permet d'accéder à plusieurs possibilités d'action :
  • [Dump file] : pour effectuer un "dump" du fichier du "driver",
  • [Copy file] : pour effectuer une copie du "driver" à des fins d'analyse détaillée (eventuellement par un spécialiste),
  • [Wipe file] : pour changer le contenu du fichier afin de le rendre inopérant,
  • [Force Delete] : pour forcer l'effacement du fichier sur le disque.
  
• [ Files ]. Cherche des fichiers comportant une anomalie, cachés ou falsifiés. Dans la fenêtre [Select drives] qui s'ouvre, un choix des partitions à scanner est possible. La nature de l'irrégularité est indiquée dans la colonne [Status] (ex: « Allocation size mismatch (API: 32768, Raw: 0) »). Comme ailleurs il est possible d'effectuer une sauvegarde du « log » ([ Save Report ]). Les possibilités d'intervention sont :
  • [Copy file], pour copier à part le fichier choisi afin de l'étudier à fond,
  • [Wipe file], pour remplacer le contenu du fichier par des données inutilisables,
  • [Force Delete], pour un effacement brutal du fichier.
  ... ...
• [ Processus ] Cherche des "processus" comportant une anomalie, cachés ou bloqués. La nature de l'irrégularité est indiquée dans la colonne [Status] (ex: « Locked to the Windows API! »)
  Un « click droit » sur un "processus" suspect sélectionné permet d'accéder à plusieurs possibilités d'action :
  • [Terminate Process and Delete File], supprime le processus en mémoire en utilisant les "API" standards de Windows et efface le fichier sur le disque,
  • [Terminate Process], supprime le processus en mémoire en utilisant les "API" standards de Windows,
  • [Force Kill], force la fermeture de tous les "threads" d'un processus par des moyens de « bas niveau »,
  • [Suspend], interrompt les activités de tous les "threads" d'un processus, utile quand on ne veut pas ou ne peut pas supprimer un rootkit,
  • [Copy File], pour copier le fichier à des fins d'analyse poussée,
  • [Wipe File], efface le fichier en remplaçant son contenu par des zéros ... ceci devrait neutraliser complètement tout rootkit mais peut ne prendre effet qu'après un redémarrage du PC à cause du mode fonctionnement du système de « cache » de Windows,
  • [Force Delete], efface les fichiers par des techniques de très bas niveau et fonctionne avec la plupart des rootkits.
  

.../...

[Txon]

...\...

• [ SSDT ] (à partir de la version 1.1.0) provoque un balayage à la recherche des crochetages effectués dans la "SSDT". Les possibilités d'intervention sont ...
  • [Unhook Selected], remettre les valeurs initiales à la place du crochet après sélection d'une ligne particulière,
  • [Unhook All], défaire tous les crochets ... attention, ils ne sont peut-être pas tous « malsains »,
  • [Copy File], copie du fichier pour en faire profiter les spécialistes,
  • [Wipe File], pour rendre le fichier totalement inopérant,
  • [Force Delete], effacement du fichier par les moyens les plus radicaux.
  ...
• [ StealthObjects ] (à partir de la version1.2.3) « tente de déterminer si des rootkits sont actifs par la recherche de symptômes typiques ». Permet le scan des routines asynchrones cachées (handlers), des threads, des modules et du code du noyau et des routines IRP
  
• [ Hidden Services ] (à partir de la version1.2.3) « scanne le système à la recherche de services cachés »
  
• [ Report ] permet d'enchaîner plusieurs ou toutes les fonctions précédentes. Dans la fenêtre [Select scan] qui s'ouvre, il est possible de sélectionner celles qui devront être exécutées. Si le scan de fichiers en fait partie, un choix des partitions est possible dans la fenêtre [Select drives].
  ... ...

[6] Site officiel et téléchargement ... actuellement version 1.2.3 « beta ». Veuillez cliquer ... -> ICI <- .

Note: Certains logiciels de défense mal informés comme CAT-QuickHeal, eSafe et NOD32v2 pourraient voir en lui un fichier suspect.

NO WARRANTY for RootRepeal. USE AT YOUR OWN RISK!

Les mots entre " " ont une explication dans le Lexique du Windows furtif

.../...

[Txon]

...\...

Essais de détection de rootkits réalisés par « fcukdat ».

[1] DNS Trojan

"DNS Trojan/Trojan.DNSChanger". Se propage à travers des pages WEB piégées ou de faux codecs pour visualiser des vidéos « spéciales ». Se caractérise par des redirections automatiques vers des pages WEB spécifiques lors de la navigation.

[2] Rustcock.C (Ntldrbot)

ROOTREPEAL © AD, 2007-2008

==================================================

Scan Time: 2008/07/26 15:45

Program Version: Version 1.0.2.0

Windows Version: Windows XP SP1

==================================================




Hidden/Locked Files

-------------------

Path: C:\WINDOWS\system32\drivers\cdaudio.sys

Status: Size mismatch (API: 18688, Raw: 254912)

[3] Unreal.A

Unreal cache son processus dans les "ADS" (Alternate Data Stream) du disque système et le driver unreal.sys (C:\unreal.sys) se cache lui-même à l'aide d'un "DKOM" (Direct Kernel Object Manipulation).

[4] Phide (process hide)

Aucun de ces rootkits n'est vraiment très nouveau, mais, pour un logiciel encore en version « beta », c'est déjà très concluant.




Selon d'autres tests, RootRepeal détecte bien le rootkit usermode « Worm.Win32.AutoRun » et TDSSServ et bien d'autres.




Ce sujet n'est pas terminé. Nous sommes en attente de réponses à des questions posées à l'auteur. Le contenu de cette présentation pourrait donc évoluer à tout moment.

Pour nous faire part de vos commentaires

(critiques, corrections d'erreurs, demandes de renseignements complémentaires, suggestions ... ),

veuillez cliquer ...

-> ICI <-

Agur !