Cyber Sécurité

Qu’est-ce qu’un rootkit? Comment se défendre contre eux?

Christophe

Un rootkit est un programme ou une collection d’outils logiciels malveillants qui donnent à un acteur de menace un accès à distance et un contrôle sur un ordinateur ou un autre système. Bien que ce type de logiciel ait des utilisations légitimes, telles que la fourniture d’un support de l’utilisateur final, la plupart des rootkits ouvrent une porte dérobée sur les systèmes des victimes pour introduire des logiciels malveillants, y compris les virus informatiques, les ransomwares, les programmes de KeyLogger ou d’autres types de malware – ou pour utiliser le système pour d’autres attaques de sécurité réseau.

Rootkits tente souvent d’empêcher la détection de logiciels malveillants en désactivant les logiciels anti-anti-terminaux et les logiciels antivirus. Ils peuvent être achetés sur le Web Dark et installés pendant les attaques de phishing ou utilisés comme tactique d’ingénierie sociale pour inciter les utilisateurs à leur donner la permission de les installer sur leurs systèmes. Cela donne souvent à des cybercriminels à distance l’accès administrateur au système.

Une fois installé, un rootkit donne à l’accès et à un contrôle de l’acteur distant sur presque tous les aspects du système d’exploitation (OS). Des programmes antivirus plus anciens ont souvent eu du mal à détecter les rootkits, mais aujourd’hui, la plupart des programmes anti-anti-logiciels peuvent rechercher et supprimer les rootkits se cachant dans un système.

Un graphique montrant 12 types de logiciels malveillants.
Les logiciels malveillants comprennent des rootkits, des virus, des ransomwares et d’autres types de logiciels malveillants.

Comment fonctionnent les rootkits

Étant donné que les rootkits ne peuvent pas se propager par eux-mêmes, ils dépendent des méthodes clandestines pour infecter les ordinateurs. Lorsque les utilisateurs sans méfiance donnent à RootKit les programmes d’installation de la permission d’être installés sur leurs systèmes, les rootkits s’installent et se cachent jusqu’à ce que les pirates les activent. Rootkits contiennent des outils malveillants, notamment des voleurs d’identification bancaires, des voleurs de mot de passe, des keyloggers, des désactivateurs antivirus et des robots pour les attaques de déni de service distribuées.

Rootkits sont installés via les mêmes vecteurs courants que n’importe quel logiciel malveillant, y compris les campagnes de phishing par e-mail, les fichiers malveillants exécutables, les fichiers PDF malveillants conçus et les documents Word Microsoft. Ils sont également connectés à des disques partagés compromis ou à un logiciel téléchargé infecté par le rootkit à partir de sites Web risqués.

Qu’est-ce qui peut être compromis lors d’une attaque Rootkit?

Une attaque Rootkit peut avoir les conséquences suivantes:

  • Provoque une infection malveillante. Un rootkit peut installer des logiciels malveillants sur un ordinateur, un système ou un réseau qui contient des virus, des chevaux de Troie, des vers, des ransomwares, des logiciels espions, des logiciels publicitaires et d’autres logiciels délétères qui compromettent les performances du système ou de l’appareil ou la confidentialité de ses informations.
  • Supprime les fichiers. RootKits s’installe à travers une porte dérobée dans un système, un réseau ou un appareil. Cela peut se produire pendant la connexion ou le résultat d’une vulnérabilité du logiciel de sécurité ou de système d’exploitation. Une fois, le rootkit peut exécuter automatiquement un logiciel qui vole ou supprime les fichiers.
  • Intercepte les informations personnelles. ROOTKITS DE LA TARDE Utilisez souvent des KeyLoggers, qui capturent des touches sans le consentement d’un utilisateur. Dans d’autres cas, ces rootkits émettent des e-mails de spam qui installent les rootkits lorsque les utilisateurs ouvrent les e-mails. Dans les deux cas, le Rootkit vole des informations personnelles, telles que les numéros de carte de crédit et les données bancaires en ligne, qui est transmise aux cybercriminels.
  • Vole des données sensibles. En entrant dans les systèmes, les réseaux et les ordinateurs, Rootkits peut installer des logiciels malveillants qui recherchent des informations propriétaires sensibles, généralement dans le but de monétiser ces données ou de la transmettre à des sources non autorisées. Les keyloggers, les grattoirs d’écran, les logiciels espions, les logiciels publicitaires, les déambulations et les robots sont toutes des méthodes que Rootkits utilisent pour voler des données sensibles.
  • Modifie les configurations du système. Une fois à l’intérieur d’un système, d’un réseau ou d’un ordinateur, un rootkit peut modifier les configurations du système. Il peut établir un mode furtif qui rend difficile la détection par le logiciel de sécurité standard. Rootkits peut également créer un état de présence persistant qui rend difficile ou impossible de les fermer, même avec un redémarrage du système. Un rootkit peut fournir à un attaquant un attaquant en cours d’accès ou modifier les privilèges d’autorisation de sécurité pour faciliter l’accès.

https://www.youtube.com/watch?v=ynulih_awxi

Symptômes de l’infection à rootkit

L’un des principaux objectifs d’un rootkit est d’éviter que la détection reste installée et accessible sur le système de la victime. Bien que les développeurs de RootKit visent à garder leurs logiciels malveillants indétectables, et il n’y a pas beaucoup de symptômes facilement identifiables qui signalent une infection à Rootkit, ce qui suit est quatre indicateurs qu’un système a été compromis:

  1. Les antimales cessent de fonctionner. Une application antimalware qui cesse de fonctionner sans raison apparente pourrait indiquer une infection active Rootkit.
  2. Les paramètres de Windows changent par eux-mêmes. Si les paramètres de Windows changent sans aucune action apparente par l’utilisateur, la cause pourrait être une infection Rootkit. D’autres comportements inhabituels, tels que les images d’arrière-plan changeant ou disparaissant dans l’écran de verrouillage ou les éléments épinglés changeant sur la barre des tâches, pourraient également indiquer une infection à rootkit.
  3. Problèmes de performance. Des performances inhabituellement lentes, une utilisation centrale de l’unité centrale et des redirectes du navigateur peuvent également indiquer une infection Rootkit.
  4. Verrouillage de l’ordinateur. Ceux-ci se produisent lorsque les utilisateurs ne peuvent pas accéder à leur ordinateur ou que l’ordinateur ne répond pas à la saisie d’une souris ou d’un clavier.
A LIRE AUSSI :  Le Brésil arrête le traitement des données d'IA de Meta en raison de problèmes de confidentialité

Types de rootkits

Rootkits sont classés en fonction de la façon dont ils infectent, fonctionnent ou persistent sur le système cible:

  • Mode du noyau rootkit. Ce type de rootkit est conçu pour modifier la fonctionnalité d’un système d’exploitation. Le rootkit ajoute généralement son propre code – et, parfois, ses propres structures de données – à certaines parties du noyau du système d’exploitation, connu sous le nom noyau. De nombreux rootkits en mode de noyau exploitent le fait que les OSO permettent les pilotes de périphérique ou les modules chargés de s’exécuter avec les mêmes privilèges système que le noyau OS, de sorte que les rootkits sont emballés sous forme de pilotes ou de modules de périphérique pour éviter la détection par le logiciel antivirus.
  • Mode utilisateur rootkit. Également connu comme un Application rootkitun mode utilisateur rootkit s’exécute de la même manière qu’un programme utilisateur ordinaire. Les rootkits du mode utilisateur peuvent être initialisés comme les autres programmes ordinaires pendant le démarrage du système ou injectés dans le système par un compte-gouttes. La méthode dépend du système d’exploitation. Par exemple, un Windows Rootkit se concentre généralement sur la manipulation des fonctionnalités de base des fichiers de bibliothèque de liens dynamiques Windows, mais dans un système UNIX, le rootkit pourrait remplacer une application entière.
  • Bootkit ou bootloader rootkit. Ce type de rootkit infecte l’enregistrement de démarrage principal d’un disque dur ou d’un autre périphérique de stockage connecté au système cible. BootKits peut renverser le processus de démarrage et maintenir le contrôle du système après le démarrage. En conséquence, ils ont été utilisés avec succès pour attaquer des systèmes qui utilisent un cryptage à disque complet.
  • Firmware rootkit. Cela profite des logiciels intégrés dans le micrologiciel du système et s’installe dans les images du micrologiciel utilisées par les cartes réseau, les systèmes d’entrée / sortie de base, les routeurs ou d’autres périphériques ou périphériques.
  • Mémoire rootkit. La plupart des infections à rootkit peuvent persister dans les systèmes pendant de longues périodes car ils s’installent sur des périphériques de stockage système permanents, mais la mémoire rootkits se charge dans la mémoire de l’ordinateur ou la RAM. Les rootkits de mémoire ne persistent que jusqu’à ce que la RAM système soit effacée, généralement après le redémarrage de l’ordinateur.
  • Rootkit virtualisé. Ces rootkits sont des logiciels malveillants qui s’exécutent comme un hyperviseur contrôlant une ou plusieurs machines virtuelles (machines virtuelles). RootKits fonctionne différemment dans un environnement hypervisor-VM que sur une machine physique. Dans un environnement VM, les machines virtuelles contrôlées par la machine d’hyperviseur primaire semblent fonctionner normalement sans dégradation notable au service ou aux performances sur les machines virtuelles liées à l’hyperviseur. Cela permet au Rootkit de faire son travail malveillant avec moins de chances d’être détectés car toutes les machines virtuelles liées à l’hyperviseur semblent fonctionner normalement.

Conseils pour empêcher une attaque rootkit

Bien qu’il soit difficile de détecter une attaque Rootkit, une organisation peut construire sa stratégie de défense de la manière suivante:

  • Utilisez des logiciels antivirus et antivirus solides. En règle générale, la détection de RootKit nécessite des modules complémentaires spécifiques aux packages anti-logiciels ou au logiciel de scanner anti-rootkit à usage spécial.
  • Gardez le logiciel à jour. Les utilisateurs de Rootkit sondent continuellement les OS et autres systèmes de vulnérabilités de sécurité. Les fournisseurs de logiciels OS et système en sont conscients, donc chaque fois qu’ils découvrent des vulnérabilités dans leurs produits, ils émettent immédiatement une mise à jour de sécurité pour les éliminer. En tant que meilleure pratique, il devrait immédiatement mettre à jour le logiciel chaque fois qu’une nouvelle version est publiée.
  • Surveiller le réseau. Le logiciel de surveillance et d’observabilité du réseau peut l’alerter immédiatement s’il y a un niveau d’activité inhabituellement élevé à tout moment le long du réseau, si les nœuds de réseau commencent soudainement à sortir ou s’il existe un autre signe d’activité réseau qui peut être interprété comme une anomalie.
  • Analyser le comportement. Les entreprises qui développent de solides politiques d’autorisation de sécurité et suivent continuellement la conformité peuvent réduire la menace des rootkits. Par exemple, si un utilisateur qui accède normalement à un système pendant la journée à San Jose, en Californie, apparaît soudainement en tant qu’utilisateur actif en Europe pendant les heures de nuit, une alerte de menace pourrait lui être envoyée pour enquête.
  • Activer Secure Boot. Les fonctionnalités de démarrage sécurisées, activées dans les paramètres BIOS / UEFI, peuvent empêcher le chargement des systèmes d’exploitation non autorisés ou des bootleggers modifiés.
  • Ajouter la protection du noyau et du matériel Rootkit. Les vérifications d’intégrité du noyau peuvent être implémentées pour déjouer la prédiction par un pirate de l’emplacement du code du noyau; KASLR (Randomisation de mise en page d’espace d’adresse du noyau) est un exemple. Des outils matériels tels que le module de plate-forme de confiance (Intel) et le processeur sécurisé (AMD) sont des options de détection qui rendent la cachette plus difficile pour RootKits.
  • Mettre en œuvre une formation en cybersécurité. La formation des employés et des utilisateurs dans les meilleures pratiques de sécurité est toujours sage mais est essentielle dans le cas des rootkits, qui sont souvent répartis par des attachements malveillants ou des attaques d’ingénierie sociale.
A LIRE AUSSI :  La plateforme de décision en matière de risques basée sur l'IA de Provenir augmente la détection des fraudes

Détection et suppression de Rootkit

Une fois qu’un rootkit compromet un système, le potentiel d’activité malveillante est élevé, mais les organisations peuvent prendre des mesures pour résoudre un système compromis.

La suppression de RootKit peut être difficile, en particulier pour les rootkits incorporés dans les grains de système d’exploitation, le micrologiciel ou les secteurs de démarrage des périphériques de stockage. Bien que certains logiciels anti-rootkit puissent détecter et supprimer certains rootkits, ce type de logiciels malveillants peut être difficile à supprimer entièrement.

Une approche de l’élimination de Rootkit consiste à réinstaller le système d’exploitation qui, dans de nombreux cas, élimine l’infection. La suppression des rootkits de chargeur de démarrage peut nécessiter un accéder au périphérique de stockage infecté à l’aide d’un système propre exécutant un système d’exploitation sécurisé.

Le redémarrage d’un système infecté par une mémoire rootkit supprime l’infection, mais d’autres travaux pourraient être nécessaires pour éliminer la source de l’infection, qui pourrait être lié aux serveurs de commandement et de contrôle en présence dans le réseau local ou sur Internet public.

Il est important de rappeler aux employés et aux utilisateurs de l’informer chaque fois qu’un ordinateur portable, une tablette ou un autre appareil est infecté par Rootkit.

Exemples d’attaques rootkit

Ce qui suit illustre plusieurs attaques Rootkit notables:

Attaques de joueurs ciblant Microsoft Digital Signature. En 2023, une équipe de piratage basée en Chine a lancé une campagne qui a ciblé les joueurs dans ce pays en utilisant un rootkit avec une signature numérique Microsoft valide. L’attaque lui a permis de se charger dans les appareils de jeu sans être bloqué et de télécharger directement les pilotes de mode de noyau non signé en mémoire. Le Rootkit a pu arrêter Windows Defender dans les systèmes cibles.

Attaque épicée. En 2020, un incident impliquant du zirconium, un groupe de menaces persistantes avancé chinois qui a développé un ensemble de fonctions de type Rootkit pour infiltrer et compromettre les systèmes ciblés via l’ingénierie sociale et le phishing de lance. Le groupe, associé au gouvernement chinois, a utilisé ses logiciels malveillants personnalisés pour obtenir un accès non autorisé aux réseaux à la recherche d’informations sensibles.

Le scandale de la protection de la copie Sony BMG. Peut-être que l’incident de Rootkit le plus connu s’est produit en 2005 lorsqu’il a été découvert que Sony BMG avait secrètement déployé des rootkits sur plus de 25 millions de CD qui ont installé des logiciels de gestion des droits numériques sur les appareils de consommation pour modifier leurs OSE pour interférer avec la copie des CD. Cela a également créé des vulnérabilités à d’autres formes de logiciels malveillants. Un programme a espionné les habitudes d’écoute privées des utilisateurs. Le tollé public qui en a résulté a déclenché des enquêtes gouvernementales, des recours collectifs et un grand rappel des CD affectés.

Wiperware est une menace plus récente avec des conséquences bien pires que le phishing et les ransomwares combinés. Apprendre comment Protégez votre organisation de cette menace de cybersécurité malveillante.

Partager cet Article
Article Précédent Les meilleures et les pires choses sur les jeux Super Mario
Article Suivant Mieux que Openai grâce à l’autonomie de l’IA? – Computerworld

Vous pourriez aussi aimer

Quitter la version mobile