En quelques mots, comment fonctionnent les rootkits ?

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
Avatar de l’utilisateur
RedNux
newbie
newbie
Messages : 7
Inscription : 12 avr. 2018 22:09

En quelques mots, comment fonctionnent les rootkits ?

Message par RedNux »

Salut à tous,

Je précise, je ne pose pas cette question dans le but de m'amuser à en faire, mais étant intéressé par l'informatique (je bosse dedans) et, entre autres, par la sécurité, je me suis beaucoup intéressé dans le cadre de mes études tout comme personnel au fonctionnement de nombreux malwares.

J'ai effectué pas mal de recherches, tests, analyses sur les malwares... Et ayant fait/faisant encore de la prog/algo (client lourd et web), autant le fonctionnement des virus, chevaux de troie, droppers et dérivées me surprend peu d'un point de vue technique (car il est très facile d'afficher quelque chose à l'utilisateur pour prétendre faire une chose tout en faisant une autre... De même que pour les duplications de fichiers, le téléchargements de fichiers malveillants via des sockets, etc), autant les rootkits, je ne comprends toujours pas comment ils fonctionnent, et ce malgré de nombreuses recherches et explications...

Dans tous les cas de figure que je connais et que j'ai pu tester/essayer, tout malware, aussi malveillant ou bien caché soit-il, repose quand même sur un (ou plusieurs) processus lourd qui tourne(nt) (-et donc, même si exécuté(s) en mode kernel/admin, il(s) demeure(nt) visible(s) dans le gestionnaire de tâches). Même si on faisait reposer du code malveillant sur des threads parallélisés, il y aurait toujours un processus lourd à leur source (donc avec son pid, donc visible...). L'idée qu'on puisse exécuter du code étranger/malveillant à l'insu de l'utilisateur sans que cela soit visible par l'utilisateur tout en ayant le même caractère instantané qu'un processus classique me semble assez... surprenant.

Lorsqu'un ordinateur démarre, il y a bien des adresses fixes spéciales qui servent à indiquer à l'ordinateur par où amorcer son démarrage et comment embrayer le reste de sa routine... Mais comment est-il possible d'écrire là dedans d'un point de vue code ? Il s'agit d'être en mode Kernel, d'apprendre des adresses par coeur et d'écrire byte par byte le rootkit dedans ?

Enfin voilà, je serais curieux de comprendre un peu mieux comment tout ça marche.
[i]Qu'on parle de moi en bien ou en mal, peu importe. L'essentiel, c'est qu'on parle de moi ![/i] - Léon Zitrone

Malekal_morte
Site Admin
Site Admin
Messages : 104586
Inscription : 10 sept. 2005 13:57
Contact :

Re: En quelques mots, comment fonctionnent les rootkits ?

Message par Malekal_morte »

Salut,

Voir là : https://www.malekal.com/rootkits-sur-windows/
En gros sur Windows, il modifiait les appels systèmes (API) afin de rediriger vers eux ces appels pour falsifier les résultats.
Ex, le gestionnaire de tâches fait un appel système pour lister les processus en cours d'exécution.
Le rootkit renvoie vers cet appel vers lui et donne la liste en supprimant le processus du rookit.
Ainsi il est invisible dans la liste des processus.

Ainsi de suite pour les appels de suppression de fichiers ou autres.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Avatar de l’utilisateur
RedNux
newbie
newbie
Messages : 7
Inscription : 12 avr. 2018 22:09

Re: En quelques mots, comment fonctionnent les rootkits ?

Message par RedNux »

Merci pour la réponse. L'article m'a confirmé certaines choses que je soupçonnais et m'en a appris d'autres :)

Du coup, ils peuvent se cacher eux mêmes mais aussi leurs potes j'imagine (histoire de pas embêter le keylogger qui espionne ou encore le Downloader qui amène d'autres amis...). Après tout si on a la main sur les appels systèmes on peut retourner à peu près ce qu'on veut en liste de processus...

Du coup, les rootkits qui mintriguent le plus sont en réalité un sous type que tu décris: les bootkits. Je n'ai sincèrement pas la moindre idée de comment programmer ça. Tu le dis toi même, ça semble être chose complexe...

Désolé si je vais dans le très technique mais rien qu'en prenant un rootkit classique en mode processus: comment peut-on écraser des appels systèmes ? Ou encore piéger l'OS pour qu'il appelle ma fonction pourrie plutôt que celle normale du noyau ? Il doit y avoir une table avec des pointeurs vers ces fonctions qu'ils redirigent vers les leurs j'imagine ?
[i]Qu'on parle de moi en bien ou en mal, peu importe. L'essentiel, c'est qu'on parle de moi ![/i] - Léon Zitrone

Malekal_morte
Site Admin
Site Admin
Messages : 104586
Inscription : 10 sept. 2005 13:57
Contact :

Re: En quelques mots, comment fonctionnent les rootkits ?

Message par Malekal_morte »

Pour les bookits voir : viewtopic.php?f=33&t=29519&p=235308
Mais c'est mort depuis les BIOS UEFI.
=> Lojax : le premier rootkit UEFI.
=> Le processus du démarrage en UEFI sur Windows

De même que les rootkits kernel-mode chargeait un pilote, c'est compliqué depuis l'interdiction de charger des pilotes non signés.
Il y a que les adwares qui ont pu continuer d'en utiliser comme ce sont des boites.. et donc des certificats derrières.
ex : viewtopic.php?f=97&t=52459
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Avatar de l’utilisateur
RedNux
newbie
newbie
Messages : 7
Inscription : 12 avr. 2018 22:09

Re: En quelques mots, comment fonctionnent les rootkits ?

Message par RedNux »

D'accord ! Du coup j'ai réellement 10 ans de retard sur le sujet... PDT_002 .

À en croire la façon dont le secteur MBR était modifié par les bootkits, on dirait bien qu'effectivement ils ont écrit octet par octet leur code malveillant dedans... Ou alors il devait exister des outils pour simplifier le tout.
J'avais lu dans un de tes vieux articles que déjà Vista compliquait la chose (est ensuite arrivé UEFI avec effectivement une plus grande protection couplée à une restriction forte des pilotes), XP ayant été la passoire principale (je sais, c'est pas bien de cracher sur ceux qui sont plus là pour se défendre, mais bon. RIP 2001-2014).

L'horreur doit quand même être de réparer la chose... Parce que déjà qu'à détecter c'est très difficile, entre les appels systèmes corrompus, code malveillant qui se lance avant même l'antivirus et qui peut même le tuer, secteur MBR très très bas dans l'archi... Pour désinfecter on peut pas simplement se dire "bah tiens je supprime", parce que un PC sans MBR ne va pas très loin... Je plains ceux qui ont du subir ces trucs. Mais hey, des outils existaient pour en réécrire des valides ou parfois même les réparer (je me demande avec quelles heuristiques d'ailleurs ? Une base de "MBR" connus ?)

Au sujet des Adwares, vu que ceux-ci sont très à la mode (comme les Ransomwares, Spywares et cie, la logique $$$ devenant de plus en plus omniprésente), existe t-il pas une liste d'entreprises sur liste noire ? Pour justement ne plus faire confiance à des signatures provenant de celles-ci ?
Je trouve ça assez absurde de considérer qu'un fichier est sûr juste parce qu'il est signé, même si je comprends qu'il fallait mettre en place une heuristique simple et assez générale d'un point de vue de l'OS dans un premier temps, et que statistiquement, les programmes sans signatures sont bien plus risqués, m'enfin bon. C'est pas parce que je colle une étiquette Picard sur du vomi que ça deviendra un repas 5 étoiles quoi.
[i]Qu'on parle de moi en bien ou en mal, peu importe. L'essentiel, c'est qu'on parle de moi ![/i] - Léon Zitrone

Malekal_morte
Site Admin
Site Admin
Messages : 104586
Inscription : 10 sept. 2005 13:57
Contact :

Re: En quelques mots, comment fonctionnent les rootkits ?

Message par Malekal_morte »

Je crois pas pour la liste, faut chercher.
Tu ne peux pas bloquer un fichier par sa signature dans Windows, du moins sur une édition famille.

et pour la signature, c'est un peu complexe qu'une étiquette Picard =)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Avatar de l’utilisateur
RedNux
newbie
newbie
Messages : 7
Inscription : 12 avr. 2018 22:09

Re: En quelques mots, comment fonctionnent les rootkits ?

Message par RedNux »

À moi de me renseigner un peu pour la signature (il doit s'agir d'un système analogue à celui des certificats SSL non ? Y a t-il des autorités de certifications ?)

En tout cas merci bien pour les explications !
[i]Qu'on parle de moi en bien ou en mal, peu importe. L'essentiel, c'est qu'on parle de moi ![/i] - Léon Zitrone

Répondre

Revenir à « Securite informatique »