Rootkits – La nouvelle tendance de Malware

Depuis quelque temps, une nouvelle définition rôde à nouveau dans le monde médiatique de l’informatique: Rootkits. Ce qui sonne pour des profanes comme quelque chose que vous achèteriez dans un magasin de jardinage n’a en fait rien à voir avec l’agriculture. Le terme provient en fait du monde Unix, où « root » est l’utilisateur avec le plus haut niveau de privilèges d’accès, l’équivalent à « l’Administrateur » du système Windows. Les Rootkits ont déjà existé pour la famille des systèmes Unix/Linux depuis déjà quelque temps, mais la tendance a également atteint les utilisateurs de Windows déjà traumatisés. Toutefois, dans le vrai sens du mot, nous commençons à la racine de la matière.

Comme déjà mentionné, les utilisateurs avec les privilèges « root » / « Administrateur » ont un accès illimité au système d’exploitation. Ceci est d’autant plus intéressant pour les attaquants et les programmes mal intentionnés d’obtenir et de conserver l’accès à ces droits. Il est un fait que tout changement, et tous les accès au système peuvent être reconnus d’une certaine manière, soit par le changement de la date dans un fichier, une entrée dans le fichier journal ou soit un nouveau processus en cours d’exécution, les possibilités sont infinies. En tant qu’attaquant habile, je préfère naturellement rester inaperçue et encore conserver l’accès à la machine de ma victime. Alors, que dois-je faire ? – J’invente le Rootkit.

Un Rootkit doit donc avoir les droits d’accès d’un pirate. Cela se fait par la dissimulation des traces créées dans le système d’exploitation, de sorte que le vrai administrateur ne peut pas détecter l’intrus. Il existe essentiellement deux types différents de Rootkits. Alors que les « Rootkits du noyau » ajoutent généralement leur propre code (et parfois leurs propres structures de données) à des parties du noyau du système d’exploitation (le « noyau »), le soi-disant « Rootkits en mode utilisateur » est particulièrement ciblé pour Windows.

Les « Rootkits en mode utilisateur », sont soit lancés comme un programme dans des conditions normales au démarrage du système soit injecté dans le système par un soi-disant « Trojan-Installateur » (Trojan-Dropper). Les méthodes exactes possibles sont relativement nombreuses et dépendent fortement du système d’exploitation utilisé – tandis que les Rootkits sous Windows manipulent spécialement certaines fonctions de base des fichiers DLL de Windows, dans les systèmes Unix une application complète est souvent remplacée.

Une fois démarré, le Rootkit s’acquitte de la tâche pour lequel il a été conçu – la suppression des traces dans le système d’exploitation. Ici aussi, les variations sont aussi nombreuses que les possibilités de rechercher un intrus. Pour citer un exemple très simple : Windows a une fonction intégrée chargée de lister le contenu des dossiers. Le rootkit peut modifier cette fonction de base (« API ») afin que le nom du fichier contenant le Rootkit ne soit jamais affiché – et ce fichier devient soudainement invisible pour l’utilisateur normal. Par la manipulation des autres APIs de Windows, et non seulement les fichiers et les dossiers peuvent être dissimulés, mais également, des programmes en cours d’utilisation, l’ouverture des ports de réseau de communication qui sont utilisés, ou des clés de registre. Bien sûr, ce ne sont que quelques-unes des nombreuses capacités de camouflage utilisées par les rootkits.

Nous arrivons maintenant à un fait qui peut à première vue sembler être un peu paradoxal : les Rootkits en eux-mêmes ne sont pas dangereux. Leur seul but est de cacher les logiciels et les traces laissées dans le système d’exploitation. Si ceci est un logiciel normal, ou un programme malveillant comme les portes dérobées, c’est hors de propos.

Un bel exemple de cela est un système de protection de CD contre la copie de la compagnie Sony BMG, qui a été analysé en détail à la fin de 2005. Le spécialiste de Windows Mark Russinovich a découvert que la simple utilisation d’un CD protégé avec ce système a provoqué l’installation automatique d’un petit morceau de logiciel, sans l’approbation de l’utilisateur, qui ne figurait pas dans la liste des processus et ne pouvait pas être désinstallé, autrement dit, il se cachait lui-même de l’utilisateur. Ce logiciel de système anti-copie a été à l’origine prévu pour empêcher un acheteur de CD de musique de lire les données audio de n’importe quelle façon et puis de les redistribuer probablement illégalement.

Tout de suite après le faux pas de Sony BMG, les Rootkits ont fortement gagné en popularité. Dans ce cas-ci, le Rootkit lui-même et pas le logiciel caché de système anti-copie, ont présenté réellement un danger indirect. Des programmeurs ingénieux peuvent utiliser les fonctionnalités de base du Rootkit de Sony BMG l’installé sur un ordinateur pour cacher leur propre logiciel (malveillant). Dans ce cas, dans un marché déjà douteux et de système de protection anti-copie agressive, Sony a omis les précautions de sécurité nécessaires pour s’assurer que seuls leurs propres fichiers pouvaient être cachés. Ce système permet à tout utilisateur malveillant de dissimuler leurs propres logiciels malveillants avec l’aide du Rootkit de Sony, simplement en utilisant certaines variables.

Sony s’est sortie de toute cette histoire qu’avec un œil au beurre noir. Les CDs de musique avec la protection contre la copie susmentionnée ont été échangés gratuitement dans une campagne de rappel. Jusqu’à ce jour, les conséquences juridiques de cette erreur ne sont toujours pas éclaircies et de nombreux clients aux États-Unis ont déjà menacé de poursuites judiciaires.

Toutefois, ceci peut être intéressant, un danger beaucoup plus grand est représenté par les soi-disant « Hybrides ». Un hybride est généralement décrit comme un croisement entre deux ou plusieurs types de programmes malveillants, par exemple un virus avec un ver. Un exemple bien connu d’un hybride entre un ver et un virus est le ver « Magistr » qui sema la terreur, il y a quelques années. Naturellement, en principe imaginable, et partiellement déjà présent, sont les hybrides de Rootkit qui renforce un parasite déjà existant avec les possibilités de camouflage d’un Rootkit. Plusieurs de ces Rootkits hybrides sont déjà connus. Le Trojan Optix Pro par exemple, a déjà possédé des fonctions de Rootkit pendant plusieurs années afin de cacher sa présence dans un PC infecté. Les vers aussi, comme les nouvelles variantes récentes du ver Bagle, se servent des techniques de Rootkit pour cacher leur présence.

Dans un futur proche, il est probable que nous allons lire et entendre beaucoup plus sur les Rootkits. On peut considérer cela comme une « évolution de la sécurité » normale, où la protection croissante des programmes de sécurité et les trous de sécurité colmatés forcent une augmentation de la créativité des attaquants. La détection et le blocage de la technologie de rootkit représentent une tâche difficile parce que, selon le créateur, un Rootkit déjà installé peut également se cacher des scanneurs de virus et autres systèmes de désinfection. D’autre part, des systèmes infectés doivent être d’abord détectés et analysés de sorte que des signatures appropriées et des modèles de comportement puissent être créés – qui sera de peu d’utilités à la prochaine attaque par la prochaine génération de parasites.

Le célèbre système d’Emsisoft Anti-Malware avec son Malware-IDS (Intrusion Detection System) utilise une approche complètement différente. L’innovant Malware-IDS est utilisé pour reconnaître l’accès à des fonctions importantes du système et offre la possibilité d’empêcher ceci. C’est pourquoi, Emsisoft Anti-Malware, est parfaitement indépendant des signatures et le met en position pour effectivement se défendre efficacement contre les derniers Rootkits. Les avantages de cette architecture avant-gardiste ont déjà été démontrés par le fait qu’il y a plus d’un an, l’exécution des Rootkits alors presque inconnus a été stoppée avec succès par Emsisoft Anti-Malware.