5 replies to this topic

[Txon]

Pour leur fonctionnement, les logiciels applicatifs ont besoin d'utiliser les fonctions du système d'exploitation qui dépendent en partie de l'architecture des processeurs. Cet ensemble complexe se situe à différents échelons dont chacun correspond à un mode de fonctionnement et un 'anneau de protection' ('ring').

Les processeurs les plus courants à ce jour, de type x86, permettent quatre modes dont deux seulement sont utilisés par les systèmes Linux et Windows.

• Les programmes des utilisateurs et les outils communs ('processus') fonctionnent en « mode utilisateur » (user mode), au niveau 'ring3', dans un espace mémoire particulier qui est géré par le système d’exploitation.
• Les fonctions fondamentales du système (gestion du processeur, de la mémoire, des entrées-sorties, des communications ...), s'exécutent en « mode superviseur » (supervisor mode) aussi appelé « mode noyau » ('kernel' mode), au niveau 'ring0', un échelon privilégié où toutes les ressources matérielles et logicielles sont accessibles.
• Les autres modes ou niveaux de protection ne sont pas utilisés.

Sauf exception prévue par les développeurs pour des liens privilégiés entre deux logiciels, il n’y a pas de relation directe entre leurs processus ou entre un processus et les ressources du système.
C'est par l’intermédiaire d'appels systèmes ('system calls') que les logiciels communs peuvent solliciter les fonctions du noyau. Les relations entre les différents éléments se font grâce aux interfaces de programmation ('API') et à une série de tables en mémoire qui permettent de situer chaque composant ou de lister les opérations à effectuer ('SSDT', 'IAT'/''EAT', 'GDT'/'IDT' ...) ou encore aux flux alternatifs ('ADS').

Les processeurs les plus récents (technologies Intel Vanderpool (VT) et AMD Pacifica) permettent la « virtualisation » qui correspond à un nouveau « mode hyperviseur » (hypervisor mode) au niveau 'ring -1'. Il est utilisé par Microsoft pour son architecture très critiquée NGSCB. Le plus haut degré de privilèges est accordé à ce niveau où il est possible d'exercer un contrôle complet tant des applications que du(des) système(s) d'exploitation qui fonctionne(nt) sur le PC.
Note ... Certains considèrent que l'anneau de protection de niveau le plus privilégié devrait être le 'ring0' qui dans ce cas de processeur, deviendrait celui du mode hyperviseur. Celui du noyau serait alors le 'ring1' et celui des logiciels applicatifs le 'ring4'.

Les programmes ou 'codes' qui modifient à leur profit ces bases de fonctionnement sont de plus en plus nombreux.

... Les "Rootkits". ...

The definition of a rootkit ...
A rootkit is a tool that is designed to hide itself and other processes, data, and/or activity on a system.

Software that hides itself or other objects, such as files, processes, and Registry keys, from view of standard diagnostic, administrative, and security software.

Ce sont de petits programmes « furtifs » qui modifient le fonctionnement normal de Windows afin de ...

• s'octroyer des privilèges (droits) qu'ils n'ont pas,
• se dissimuler et masquer des activités malveillantes,
• parfois, au contraire, assurer une meilleure protection contre les intrus ou cacher des travaux ou des données « sensibles ».

Les rootkits ne sont pas en eux mêmes des 'exploits'. Même s'ils cachent souvent des maliciels, leurs techniques peuvent aussi être utilisées par des logiciels sains, à commencer par les utilitaires de défense.

Une grande partie des informations ci-dessous provient de « Wikipedia » et d'autres sites anglophones comme delui de « kareldjag » (Michel) ou de sites francophones comme ceux de «3psilon» (Alban) ou de « VirusLab » (A. Monastyrsky, K. Sapronov et Y. Mashevsky).

Windows fonctionne avec des événements, avec des appels systèmes. (Tout comme les autres systèmes)
La méthode pour émettre un appel ou le réceptionner peut varier. Néanmoins un rootkit consiste à se positionner entre l'appelant et l'appelé. Ainsi il sera possible de modifier le contenu de la réponse.

Maintenant le positionnement du rootkit et la méthode de crochetage peuvent varier, d'ou la difficulté des anti-rootkits à détecter la totalité des altérations. Ring 3 ou Ring 0 ... SSDT, IAT, IRP, ... hook address, hook inline ... Les tables de correspondance sont utilisées à plusieurs niveaux dans l'OS , et peuvent être modifiées différemment.

• >> Grandes catégories de rootkits
• >> Composants généraux des rootkits classiques
• >> Isoler ou détecter les rootkits.
• >> ARKs - antirootkits - IDS & IPS
• >> Annexe

Les mots entre " " ou entre ' ' ont une définition dans le lexique du Windows furtif.

…\…

[Txon]

.../...

Les grandes catégories de rootkits.

[a] ... Les rootkits classiques.
Pour arriver à leurs fins, les rootkits peuvent utiliser des techniques de furtivité comme la manipulation des "objets-noyau" ('DKOM') pour fausser les listes de processus établies par les utilitaires de consultation ordinaires.

Plus souvent ils modifient le fonctionnement normal du système d'exploitation et/ou des applications en mémoire et emploient des techniques connues sous les noms de "hooking", ici traduit par le mot "crochetage", dont on distingue essentiellement trois variantes ...

• Les rootkits "Noyau" (kernel level rootkits - "ring0").
  Une de leurs techniques est connue sous le nom de "SSDT hooking". Ils modifient la table "SSDT" qui contient les adresses des fonctions de bas niveau implantées dans le "noyau". Ainsi, les appels à ces fonctions qui sont fait par les applications soient dirigés vers eux. Depuis ce niveau, il est également possible de crocheter d'autre « tables virtuelles de fonction » ...
• Les rootkits "Bibliothèque" (Library level rootkit - "ring3").
  Cette technique de rootkit en « mode utilisateur », qui n'altère pas le "noyau", est connue sous le nom de "API hooking". Un des procédés est le crochetage de la table "IAT". Ils modifient ou remplacent les appels ("system calls") aux ressources du système d'exploitation ("DLLs") pour les orienter vers eux etc.
  
• Les rootkits "Applications" ("ring3").
  Rootkits conventionnels, ils modifient ou remplacent des logiciels applicatifs sains par leur "code" qui inclut généralement un cheval de Troie avec ouverture d'une porte dérobée.

Même pour ces rootkits classiques, les techniques évoluent et on voit apparaître des variantes encore plus difficile à détecter et neutraliser. Parmi elles se trouvent ...

• "inline hooking" (méthode dérivée des procédés habituels déjà cités) quand un processus, driver ou bibliothèque logicielle modifie le "code" d'un autre processus, driver ou bibliothèque logicielle, généralement en y remplaçant certaines instructions par des instructions de détournement vers un nouveau traitement (handler - asynchronous callback subroutine) sous contrôle du rootkit . Il existe plusieurs types de crochetages "inline" ...

  Here is the full list. The difference between them is the method of redirect instruction/handler that was used in spliced code.

  • Inline – RelativeJump
  • Inline – RelativeCall
  • Inline – DirectCall (call xxxxxxxx where xxxxxxxx = address of new handler)
  • Inline – DirectJump (the same with jmp instruction)
  • Inline – PushRet
  • Inline – SEH (for example for 'Inline - SEH' it is "int 3" instruction)

• Crochetage des tables "GDT" et "IDT" du système Windows, des "IRP" (I/O request packets) ou des "ADS" (Alternate Data Stream) de compatibilité avec les fichiers de Apple.

[b] ... Les rootkits firmware (driver level rootkits) ou flash .
Certains éléments de l'ordinateur disposent en interne d'une mémoire propre et d'un logiciel de fonction dont l'accès n'est pas complètement verrouillé afin que des mises à jour puissent être effectuées. Une première annonce de possibilité d'intrusion dans un « processeur secondaire » a été faite par Greg Hoglung dès 2004.
De son côté, le chercheur John Heasmann de NGS Software a démontré qu'il était possible de profiter de failles de sécurité pour implanter dans la mémoire en question des programmes totalement différents des originaux. Il a conçu des rootkits "POC" pour BIOS et cartes graphiques ...

• Implementing and detenting an ACPI BIOS rootkit.
• Implementing and detenting a PCI rootkit.

Les attaques au niveau des pilotes (driver level) peuvent également viser toutes sortes d'autres périphériques et en particulier les cartes WiFi.
Aucune mesure habituelle comme le formatage de disque suivi d'une réinstallation du système d'exploitation n'est efficace contre ce genre d'intrusion. Pour s'en protéger, il faudrait disposer de composants qui imposent un strict contrôle de signature des implantations dans ces éléments, par exemple grâce à un processeur de sécurité conforme aux normes TPM (Trusted Platform Module) ... encore assez rare, plus cher et sans garantie d'efficacité totale.


[c] ... Les rootkits virtualisés ou virtuels (virtualized rootkits - "ring-1").
On peut distinguer ceux qui lancent le système d'exploitation dans une "machine virtuelle" et ceux qui, au contraire, créent une machine virtuelle à partir d'un O.S actif pour se camoufler.

• "SubVirt", créé sous les directives de Microsoft modifie la séquence de démarrage du système d'exploitation (boot) pour être lancé avant lui. Après un redémarrage du PC et une fois installé en mémoire, il lance à son tour le système d'exploitation en tant que "machine virtuelle". Il fonctionne de manière autonome « en dessous » du système, sans possibilité de contrôle de ses activités par celui-ci. Il peut alors intercepter les communications de son « invité » avec les composants matériels.
• "Blue Pill" de Joanna Rutkowska, spécialement conçu pour les versions 64 bits de Windows Vista, s'implante à la volée au plus bas niveau, sans besoin d'un redémarrage du système. Il profite des possibilité de virtualisation qu'offrent les processeurs pour lancer une "machine virtuelle" sécurisée dans laquelle il peut effectuer secrètement son travail.

Ces rootkits sont relativement récents ; aucun n'était recensé en 2005. Ils préfigurent les attaques du futur.
Dans l'absolu, un rootkit de la classe "Blue Pill", mais malveillant, pourrait aussi installer un rootkit de type "Subvirt" créant une véritable machine infernale où l'utilisateur serait espionné et manipulé à la guise des attaquants successivement par deux voies distinctes. A ce jour, aucun logiciel du commerce en fonction sur un système d'exploitation infecté n'est capable de les détecter alors que ces rootkits ont peut-être déjà dépassé le simple stade de l'expérimentation.


Ce qui suit est essentiellement consacré aux rootkits malveillants les plus courants actuellement, de type classique.

…\…

[Txon]

.../...

Les composants des rootkits nuisibles classiques.

Toutes les fonctions des premiers rootkits nocifs étaient souvent regroupées dans un seul et même processus. Ce n'est plus le cas actuellement. Les rootkits nuisibles sont de plus en plus souvent constitués de plusieurs éléments ...

• Un module de lancement responsable de l'injection du maliciel, appelé 'hook server', 'injector' ou 'dropper' qui peut être un 'drive-by download' d'un site web piégé, un fichier exécutable camouflé dans une pièce jointe à un message électronique ou autre.
• Au moins un élément d'intrusion qui agit furtivement et peut avoir des formes multiples et des fonctionnalités variées ... 'driver' en mode noyau/superviseur, 'DLL' ou 'processus léger' en mode utilisateur, chacun d'eux pouvant être lié à un 'Service Windows'...
• Généralement, une ou plusieurs clé(s) de Registre Windows pour un lancement automatique au redémarrage du PC et, au besoin, le stockage de paramètres.
• Éventuellement un ou plusieurs fichiers de paramètres ou de stockage de données.
• Parfois des modules particuliers ou des fonctions spéciales d'auto-protection ou de régénération sous une forme différente d'un composant de l'ensemble qui aurait été éradiqué.

Exemple ...

First4DRM est un rootkit qui cache tous les processus, fichiers, dossiers ou sous-clés du Registre qui commencent par la chaîne $sys$
Ce rootkit a été conçu pour cacher une application légitime, mais il peut être utilisé pour cacher d'autres objets y compris des logiciels malveillants.

Noms de fichier (driver) : aries.sys
Lorsque First4DRM s'exécute, il réalise les opérations suivantes :

• Il se copie lui-même sous le nom de fichier suivant : %System%\$sys$filesystem\aries.sys
  Remarque : % System% est une variable qui fait référence au dossier System. Il s'agit par défaut de C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) ou C:\Windows\System32 (Windows XP).
• Il crée la sous-clé de Registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\$sys$aries
  ce qui charge le driver lorsque l'ordinateur infecté est démarré.
• Il cache tous les processus, fichiers, dossiers ou sous-clés de registre qui commencent par la chaîne $sys$
• Il vérifie le nom de tous les processus tentant d'accéder à ces processus, fichiers, dossiers ou sous-clés de registre. Si le nom du processus commence par $sys$ l'accès est permis. Sinon, il empêche l'accès au processus, au fichier, au dossier ou à la sous-clé du Registre.

Les rootkits malveillants s'attaquent en priorité à différents fonctions et modules du système ...

• Gestionnaires d'entrées/sorties, de systèmes de fichiers, d'objets, de processus et threads, de pilotes de périphériques, pour cacher leurs modules actifs ainsi que leurs fichiers et répertoires
• Configuration, essentiellement pour cacher des clés dans la base de registre.
• Fonctions et utilitaires de défense afin de neutraliser les politiques de sécurité qui régissent les contrôles d'exécution sur les objets.

Les malwares que peuvent cacher les rootkits sont des «sniffeurs», des « keyloggers » des «chevaux de Troie» etc. Un exemple typique est celui des maliciels furtifs de la famille >> « Haxdoor » dont les caractéristiques communes sont maintenant connues, même par >> Microsoft.

Lancement des rootkits

Pour s'infiltrer dans le PC, les intrus ont encore recours aux nombreuses failles qui insécurisent Windows et ses sous-produits, les logiciels applicatifs de navigation ou multimedia, mais d'autres méthodes existent.

Depuis quelques temps déjà et de plus en plus souvent, les lanceurs de maliciels ont une apparence inoffensive qui trompe beaucoup de défenses. Ils sont souvent activés par des manipulations inconscientes ou volontaires ...

• navigation malencontreuse dans un site internet piégé par un 'drive-by download'
• «clic» intempestif sur une pièce jointe à un mail,
• DRM d'un CD ou d'un DVD, logiciel d'application protégé/piégé par son éditeur etc.

j'ai mis "oui" sans réfléchir

En fait le vrai problème doit être entre la chaise et le clavier

Même si les méthodes classiques d'intrusion ne sont pas à exclure, l'inconscience des utilisateurs est devenue le premier facteur de l'infection des ordinateurs. Qu'il y ait ou non usage de technique de furtivité, le résultat est impressionnant ...

One quarter of all computers part of a botnet ...
Des 600 millions d’ordinateurs connectés chaque jour à Internet, de 100 à 150 millions seraient en fait des PC zombies.

Que ce soit à cause des nombreuses ramifications d'un rootkit ou des erreurs commises par les usagers, les ARKs ne pourront pas limiter leur action à la partie lanceur d'un rootkit. Les moyens de défense et de remise en état de l'ordinateur devront comporter la détection et l'éradication de tous les composants du rootkit-malware.

…\…

[Txon]

.../...

Isoler ou débusquer les rootkits.

... Isoler les dangers potentiels ...

L'usage d'un bac à sable comme celui de Sandboxie ou d'une machine virtuelle peut permettre d'isoler l'infection. ...

Sandboxie agit en amont des infections sur les ordinateurs équipés de Windows. Ce logiciel isole les fichiers de navigation et ceux de fonctionnement des applications qu'il contrôle dans son bac à sable. Les fichiers téléchargés comme les scripts et autres programmes y sont enfermés dans des répliques des répertoires normalement utilisés. De plus, Sandboxie utilise une copie d'une partie de la base de registre pour protéger l'original contre les insertions malveillantes.
... ... ...
Les maliciels de toutes sortes sont cantonnés dans le bac à sable. De plus, Sandboxie interdit depuis la zone qu'il contrôle toute injection dans le noyau de Windows ( driver, Dll ...). D'une manière distincte et à un niveau différent, il agit un peu comme le système PatchGuard de Windows Vista 64 bits et tente d'empêcher le fonctionnement en son sein de tout logiciel en mode superviseur, qu'il soit malveillant ou non.

Encore faudrait-il que l'utilisateur effectue dans la partie de l'ordinateur réservée à cet effet toutes les opérations à risque afin d'y limiter l'action d'un éventuel maliciel .
Limites de ces techniques ... Bien que remarquables, ces solutions ne peuvent malheureusement pas être garanties totalement efficaces dans tous les cas de figure et ne mettent pas à l'abri des infections toujours possibles lors d'une transaction quelconque effectuée hors des zones d'isolement.


Les maliciels/rootkits se différencient des autres essentiellement par l'usage des techniques de furtivité mais celles-ci rendent inopérants les outils les plus conventionnels. Les rootkits modifient les appels vers de nombreuses fonctions et bibliothèques qu'utilisent presque tous les logiciels applicatifs de détection en mode utilisateur ('ring3'). Les renseignements fournis par le système d'exploitation aux utilitaires ordinaires ne sont alors plus crédibles.
Les logiciels de protection qui se basent à un moment donné sur ce type d'informations seront facilement débordés s'ils fonctionnent au sein d'un système infecté. Aussi puissants qu'ils soient par ailleurs, ils ne découvriront que les maliciels les plus imparfaitement camouflés.

... Détection « extérieure » ...

Le meilleur moyen pour détecter et éradiquer les rootkits-maliciels installés dans un système serait de contrôler celui-ci à partir d'un autre système d'exploitation installé sur le même ordinateur (multiboot), sur un CD/DVD (LiveCD) ou tout autre périphérique bootable.
En effet, un rootkit ne peut pas cacher sa présence s'il n'est pas actif. A partir d'un système d'exploitation de secours, les éléments malins que le rootkit prétend cacher pourraient être détectés et éradiqués par un antivirus ordinaire s'il était bien renseigné ou même « manuellement » par celui qui connaîtrait leurs implantations.
Limites de cette solution ... Même cette technique n'est pas parfaite ...

• Ce type de contrôle ne peut pas être permanent. Il nécessite en effet le lancement d'un système d'exploitation indépendant de celui qui est contrôlé. La détection d'un maliciel par ce procédé peut donc intervenir bien après l'infection, souvent trop tard car les rootkits malveillants peuvent agir en très peu de temps (une dizaine de minutes en moyenne).
• Les bases de connaissance des antivirus (ou les utilisateurs éclairés) sont parfois tardivement informées du détail de chaque nouveau rootkit ...
  • Microsoft a mis plus d'un mois à prendre en considération 'Blue Pill' après la publication faite sur son blog par Joanna Rutkowska et deux mois de plus pour mettre en place une parade.
  • Certains rootkits comme ceux de la classe 'Rustock' s'équipent de contre-mesures (rétro-routines) qui empêchent leur détection par les outils les plus répandus. Ceci retarde d'autant la connaissance de leur existence et de leur implantation et, par conséquence, la mise à jour des antivirus.

Faute de remède miracle, il est conseillé ...

• d'utiliser un système d'isolement des dangers potentiels (sandbox ou machine virtuelle)
• de procéder à un « scan » aussi fréquemment que possible depuis un système de secours,
• d'utiliser au moins un ARK sur son système habituel.

.

Ce qui suit est essentiellement consacré aux utilitaires antirootkits à usage individuel - ARK pour PC autonome - par opposition aux contrôleurs d'activité et détecteurs de malwares au sein d'un réseau.

…\…

[Txon]

.../...

Les catégories d'antirootkits (ARK)

On distingue généralement deux catégories d'utilitaires spécialisés dans la recherche des intrusions ...

• Les IDS (Intrusion Detection System) qui auscultent le système à la recherche des activités anormales ou suspectes. On sépare les NIDS utilisés pour la surveillance d'un réseau (N pour Network) des HIDS à usage individuel sur chaque PC (H pour Host).
  Les HIDS qui sont traités ici sont des logiciels de reconnaissance et signalisation des intrusions qui utilisent fondamentalement diverses méthodes qui se complètent. Certains intègrent simultanément plusieurs d'entre elles ...
  • Le « scan », recherche basée sur des listes de « signatures » (taille, autorisations, date, hash ...) des programmes et de leurs composants. Ces listes, « noires » lorsqu'il s'agit de maliciels et « blanches » pour les logicels sains ont l'inconvénient d'une mise à jour parfois tardive.
  • L'heuristique ou l'analyse comportementale, fonction d'une « norme » admissible de fonctionnement d'un logiciel et de statistiques. C'est généralement un système flou et partial, peut-être le moins fiable actuellement.
  • Le contrôle d'intégrité qui signale tout changement par rapport au « cliché » effectué sur le système lorsqu'il est censé être sain. En général, pour un débutant, ce genre d'alerte est difficile à analyser.
  • La « différence de point de vue » (cross-view differential) entre les analyses de haut-niveau et de bas niveau des APIs, du Registre etc.
  • La détection des crochetages effectués dans le noyau et les « tables virtuelles de fonction » utilisées pour les communications entre le système et les applications.
  • Les méthodes de différence de point de vue et de détection des crochetages se recoupent et se rejoignent au sein des politiques de contrôle d'accès. Elles sont sans aucun doute performantes mais elles présentent cependant des inconvénients. Comme l'analyse comportementale et le contrôle d'intégrité, elles signalent aussi bien les maliciels que les logiciels sains qui utilisent ces techniques et font trop appel à des appréciations et interventions de la part des utilisateurs.
• Les IPS (Intrusion Protection System), outils de prévention destinés à signaler toute nouvelle activité dans le PC. Là encore, on différencie les NIPS des réseaux des HIPS personnels définis comme des serveurs ...
  Les HIPS qui sont traités ici ne sont plus seulement des détecteurs « a posteriori », fondamentalement ils sont des HIDS dotés de la possibilité de bloquer immédiatement les intrusions.

  Ces HIPS sont destinés à protéger les PC domestiques contre les menaces classiques de type parasites ou malwares (virus, spywares, trojans etc) : plusieurs approches (liste blanche, base de signatures, analyse comportementale) peuvent êtres utilisées au sein d'un même produit ainsi que différentes technologies (sandbox, virtualisation ...).

  L'isolement des activités au sein d'un bac à sable (sandbox), une variante de la virtualisation, a l'avantage de faire fonctionner les logiciels dans un environnement confiné. Théoriquement, en cas d'intrusion, les maliciels ne peuvent théoriquement pas s'en échapper. Le système virtuel est affecté, pas l'original.
  On retrouve chez les meilleurs HIPS ...
  • une approche semblable à celle des pare-feux,
  • la technique d'isolement des nouvelles activités suspectes (virtualisation).

Différences essentielles entre HIDS et HIPS

Avantages et inconvénients ...

• Il n'y a pas de notion de rapidité de détection pour les HIDS qui n'interviennent généralement que lorsque l'utilisateur le décide ... c'est à dire le plus souvent trop tard puisqu'il ne faut en moyenne qu'une dizaine de minutes à un maliciel pour accomplir l'essentiel de son forfait. Les HIPS par contre fonctionnent en permanence (ou tout au moins ils le devraient) ... c'est leur plus grand avantage.
• La capacité de détection des HIDS est supérieure à celle des HIPS. En effet, la surveillance en temps réel des activités de l'ordinateur exercée par les utilitaires de prévention les prive de certaines des techniques qui font la force des purs HIDS. Faute de pouvoir effectuer certaines recherches assez rapidement en mémoire, la différence de point de vue et la détection des crochetages sont, au moins pour l'instant, absents des HIPS dont les meilleurs compensent par des techniques d'isolation des dangers potentiels.
• Les capacités de neutralisation ou d'éradication des uns et des autres découlent directement de leurs caractéristiques techniques.
  • Un HIPS empêche le démarrage d'un rootkit s'il l'a détecté et, parce que le rootkit n'est pas encore actif, il peut souvent empêcher son implantation. Si, au lancement, un rootkit contourne un HIPS, celui-ci est par contre presque toujours sans la moindre défense.
  • Un HIDS intervient au contraire sur des rootkits opérationnels, logés en mémoire et installés sur le disque. Les utilitaires de détection performants proposent des solutions de « neutralisation » qui ont pour effet de rendre le rootkit « visible ». Les éléments malsains connus peuvent alors être effacés du disque soit manuellement soit au moyen d'un antivirus bien renseigné. Les HIDS les plus performants proposent des solutions de restauration des éléments crochetés en leur état original (à partir des fichiers systèmes lus à bas niveau).
• Les protections contre les contournements et les désactivations se mettent en place progressivement pour contrer les rootkits les plus évolués comme ceux de la classe "Rustock" qui cherchent à contourner spécifiquement chacun des détecteurs les plus connus ou à empêcher leur fonctionnement.
  • Les HIPS commerciaux et réputés sont les premiers visés par ces contre mesures. Leurs protections ne sont pas toujours suffisantes : trop légères ou mises en place avec un temps de retard sur l'évolution des rootkits.
  • Les HIDS les plus performants s'équipent plus rapidement de systèmes efficaces pour empêcher l'interruption de leur fonctionnement, mais ce n'est pas toujours suffisant.
  Pour se protéger des rétro-routines, plusieurs techniques sont utilisées par les logiciels de détection. Parmi elles, on peut citer ...
  • Fonctionnement sous des noms générés aléatoirement
  • Crochetage sécuritaire de différentes fonctions (NtOpenProcess, NtOpenThread, NtTerminateProcess, NtTerminateThread. ...), accessibles via la SSDT ("ring0"), comme le ferait un rootkit malsain qui voudrait empêcher son fonctionnement.

Il n'y a donc pas de solution miracle. A moins de trouver un utilitaire mixte HIDS + HIPS performant dans tous les domaines, il faudra utiliser un logiciel de chaque catégorie.

Objectifs des ARKs et mode de fonctionnement

Les éléments les plus nocifs des rootkits malveillants sont de moins en moins souvent intégrés au processus de lancement. On les retrouve de plus en plus souvent dans un pour plusieurs éléments complémentaires. A cause des pratiques de beaucoup d'utilisateurs qui acceptent trop facilement le processus initial, le système de défense du PC devra donc

• ... empêcher l'installation de l'ensemble constitutif du maliciel : processus / 'driver(s)' / 'bibliothèque(s)' / clé(s) du Registre ... et non pas seulement du lanceur.
• ... si le maliciel a réussi à s'implanter, procéder à une éradication qui devra porter sur tous ses éléments essentiels et pas uniquement sur le processus initial.

En cas d'infection, le retour à une installation saine préalablement sauvegardée du système et des logiciels applicatifs est souvent préférable.
Quand ce n'est pas possible et faute de système de secours, il faudra faire appel aux meilleurs ARKs pour essayer d'éradiquer les intrus et rétablir le système en son état original.

Comme les rootkits les plus agressifs, les ARKs les plus performants ne peuvent pas se contenter d'agir avec des privilèges restreints au niveau utilisateur (user level 'ring3'). Il leur faut avoir accès aux privilèges des 'superviseurs', au noyau du système (kernel level - "ring0"), même quand ils arrivent à fonctionner dans des cessions en 'mode utilisateur'. Pour les versions destinées aux processeurs 64bits récents, il leur faut aussi avoir accès au 'mode hyperviseur' ('ring-1').
Note ... Un système d'exploitation comme Windows Vista version 64 bits est équipé de mesures qui empêchent les logiciels de crocheter le noyau. Sauf à agir comme des « pirates », les meilleurs détecteurs ne peuvent donc pas fonctionner sous ce système, laissant ainsi le champ libre aux rootkits qui arrive(ro)nt à contourner la dérisoire défense de Microsoft.

…\…

[Txon]

.../...

Annexe.

... Sécurité ... (sujet principal) ...

• Logiciels préventifs ... HIPS (liste non exhaustive et liens)
• Logiciels curatifs ... HIDS (liste non exhaustive et liens)

/!\ Attention /!\

• Certains des logiciels ARKs ou IDS sont déconseillés aux personnes sans compétences avancées en informatique et plus spécialement dans les domaines suivants ...
  • fonctionnement des services et drivers dans le noyau,
  • base du Registre.
• Tous les antirootkits puissants modifient eux aussi le fonctionnement de Windows pour mieux en assurer la surveillance. Les risques de conflit existent. Tous les ARKs ne sont pas compatibles entre eux.

  Les conflits se produisent rarement, et, à ce moment-là, vous devriez vérifier votre système et essayer de neutraliser ou même désinstaller le logiciel de sécurité qui peut poser ce problème afin de l'éviter.

  Tous les antirootkits ne peuvent pas être utilisés sur des plates-formes instables ou avec certains logiciels, et en particulier avec un débogueur («Softice», «Windbg», «Syser debugger etc.) qui pourrait provoquer un BSoD.
• Surtout si vous êtes amené à essayer plusieurs logiciels de défense, il est conseillé de les installer sous le contrôle d'un logiciel spécialisé de désinstallation. Sinon, vous devrez avoir recours à de longues et fastidieuses manipulations.
• Certains des logiciels anti-rootkits pourraient détecter des intrusions dans le noyau de Windows qui ne seraient pas le fait de rootkits malsains.

... Rootkits et ARKs ... quelques sujets en français.

• HIDS et HIPS testés sur Informars ...
  • [a] – Prévention (HIPS) & « mixtes » ...
    • Dynamic Security Agent
    • Spyware Terminator
  • [b] – Détection « a posteriori » (HIDS) ...
    • Test comparatif des HIDS (Protection illusoire des PCs).
    • IceSword (ARK)
    • RkUnhooker (ARK)
• Alertes déclenchées ... Contrôles à effectuer (vrais/faux positifs)
• Test des logiciels de protection.

... Rootkits et ARKs ... quelques sujets en anglais.

• Comparative of various technologies to protect against malware Andreas Clementi - oct 2006 (.pdf)
• Six Rootkit Detectors Protect Your System Serdar Yegulalp - jan 2007.

Six Rootkit Detectors: F-Secure BlackLight • IceSword • RKDetector • RootkitBuster • RootkitRevealer • Rootkit Unhooker ...
... Conclusions
The rootkit detection tools out there right now seem to break down into two basic categories:

• 1. Professionally written tools, which seem to be mostly marketed as a way to get people to buy a full commercial product.
• 2. Independently authored tools of broadly varying pedigrees and usability.

Ironically enough, it was one of the independent tools — Rootkit Unhooker — that turned out to be the best. I'm not sure that means the big vendors will see them as competition, though, since the indie-written tools clearly are meant for self-appointed pros.
If rootkits continue to proliferate and become as difficult to detect as is predicted to happen, that will be yet another selling point for the major security-software makers to market their own products. But it also will be an incentive for the indies to continue to write and update their tools for their own market, too.

*-*-*-*-*-*-* *-*-*-*-*-*-* *-*-*-*-*-*-* *-*-*-*-*-*-*

Fin provisoire ...
Ce dossier sera complété en fonction de vos demandes de précisons ou de l'évolution des logiciels disponibles gratuitement. En cas de doute en ce qui concerne la signification d'un mot ou d'une expression, vérifiez s'il existe une explication dans le lexique des mots et expressions utilisés dans l'environnement des rootkits et des ARKs.
Veuillez faire part de vos réflexions et poser vos questions dans le sujet réservé à cet effet ...

>>> ICI <<<

@+