Détails rootkits

[computer007]

Bonsoir,

Je ne sais pas si la rubrique est bien choisie, mais elle me semblait être la plus adéquate.
Je vais en fait vous présenter mon projet, ce que je cherche à faire et ce qui me pose problème, et bien entendu tout ceci est lié de très prêt à la sécurité, et plus particulièrement aux rootkits.

Pour mes études je suis en train dé réaliser une application .NET qui est chargée de supprimer divers keyloggers.
Je suis en fait passionné de sécurité informatiques, et faire un projet autour de la sécurité me tenait à coeur depuis longtemps.
Tout ça pour dire qu'aujourd'hui l'application fonctionne pour des menaces basiques qui sont installés sur le système, par exemple par des parents qui veulent surveiller leurs enfants, et donc des "menaces" particulièrement simple étant donné que le process apparait dans la liste des processus, etc...
C'est sympa, mais ce qui m'intéresse vraiment est en fait les nouvelles menaces sous forme de rootkits.
J'ai lu les posts de Malekal sur les rootkits et j'ai déjà beaucoup appris (je l'en remercie d'ailleurs). Je voudrais donc rendre mon application capable de supprimer une menace spéciale, mais qui utilise des technologies de rootkits. Ainsi la désinfection serait automatisée, car certaines personnes n'osent pas utiliser GMer par exemple.
Comme vous vous en doutez les méhodes du framework .NET sont capables de récupérer des process et fichiers uniquement visibles.

Mes questions seraient donc les suivantes.
1) Comment récupérer une menace que je pourrais installer sur mon PC, que je tenterais de supprimer manuellement puis par la suite, rendre ceci automatique depuis mon appli? Il est plus facile de chopper une menace involontairement (quoique cela fait depuis bien longtemps que j'ai eu l'occasion de désinfecter mon propre PC) que d'arriver à la récupérer!

2) J'ai compris la base de rootkits, la modification d'une table pour détourner les appels faits au système, etc...
Seulement, comment le driver est il lancé exactement. Une simple ligne dans la base de registre permet de langer un .sys au démarrage, et ce .sys est capable de cacher les process et dossiers? J'ai aussi lu (je ne sais plus où) que des services pouvaient être utilisés, quels liens ont-ils exactement?

3) Maintenant je pars du principe de lé désinfection manuelle d'une menace (je ne sais pas laquelle choisir, mais pas une menace qui soit trop évoluée, je pense que Malekal sera à même de me conseiller quelle menace choisir):
Une fois installé, comment procéder, sans outils externes, mis à part pour m'aider à détecter etc, pour supprimer la menace. Vu que le driver (.sys?) tourne et empêche de détecter le menace, que dois je faire?
SI tout est caché, comment stopper le driver qui pose problème (tout est caché voire verrouillé).
J'espère que vous voyez sur quoi je bloque.

Si quelqu'un pouvait m'expliquer en détails comment fonctionne une menace ciblée par exemple, et un moyen de supprimer manuellement le rootkits sans avoir recours à des logiciels externes (ce qui me permettra ensuite de coder mes actions manuelles en .NET), je lui en serait bien reconnaissant, parce que la sécurité me passionne vraiment et j'aimerais beaucoup mener à bien mon projet. Autre précision, je m'intéresse ici ou rootkit kernel-mode.

Merci à tous,

PS: Honnêtement c'est le premier site de sécurité aussi pointu que j'ai pu trouver sur le net, et c'est d'aileurs à la suite de la lecture d'un article sur celui-ci que j'ai pris conscience des lacunes d'Avast que je conseillais bien trop souvent auparavant.

[Cyborg]

Tu as essayé les forums de programmation?

Autant Malekal pourra sûrement te conseiller et te guider pour tester tes progs et faire les manips à la main. Autant, à mon avis, il te faudra t'adresser à des forums plus pointus en programmation pour savoir comment faire ce que font les anti-rootkits habituels ou alors gmer, par exemple.

Question pour les gens qui connaissent pleins de logiciels : il n'y a pas de logiciel incluant un anti-rookits en licence GNU GPL (-> donc accès aux codes sources possible)?

En tout cas, j'suis curieux de savoir un peu comment tu vas faire. Ca t'embêtera pas de décrire un peu les méthodes que t'utilises au fur et à mesure que tu avanceras? Etant programmeur, le principe m'intéresse, même si je n'aurai jamais l'occasion de bosser là-dessus.

[computer007]

Bonjour,

C'est effectivement pour la partie compréhension de l'infection et désinstallation manuelle que je suis venu sur le forum demander l'aide de Malekal. Pour ce qui est de la programmation j'aurais juste à traduire mes opérations manuelles en progra donc pour ça j'ai la doc MSDN donc ça devrait aller.

Et il n'y a pas de problème je pourrais venir expliquer comment j'ai procédé en programmation pour supprimer le rootkit.

J'attends donc Malekal pour mieux comprendre toutes les étapes de désinfection, et pour trouver une menace rootkit en kernel-mode pas trop évolué non plus.

Merci d'avance

[Contact75]

Bonjour,

C'est effectivement pour la partie compréhension de l'infection et désinstallation manuelle que je suis venu sur le forum demander l'aide de Malekal. Pour ce qui est de la programmation j'aurais juste à traduire mes opérations manuelles en progra donc pour ça j'ai la doc MSDN donc ça devrait aller.

Et il n'y a pas de problème je pourrais venir expliquer comment j'ai procédé en programmation pour supprimer le rootkit.

J'attends donc Malekal pour mieux comprendre toutes les étapes de désinfection, et pour trouver une menace rootkit en kernel-mode pas trop évolué non plus.

Merci d'avance

Cela peut t'interesser :

http://northsecuritylabs.com/downloads/whitepaper-html/

Sinon pour en savoir un peu plus tu peux essayer de te procurer les numéros 33 et 34 de MISC, il y avait de bons articles sur le sujet.

La revue est très bien faite et c'est accessible dès lors que tu as quelques connaissances infos et reseaux.

http://www.miscmag.com/fr/

Sinon (liens en fin d'article)

http://en.wikipedia.org/wiki/Rootkit

dont l'excellent : http://www.antirootkit.com/

[computer007]

Bonjour,

Merci pour les articles, mais cela ne me détaille pas précisément comment venir à bout d'une menace sans Gmer ou autre par exemple.
Les notions de réseau je les aient je suis en DUT Réseau & Télécommunication.

En fait je chercherais à ce que Malekal m'explique comment faire pour supprimer la menace parce qu'une fois installée elle est cachée, donc quels moyens j'ai pour supprimer l'infection si je sais où elle est?
Je pense à quelquechose mais je ne sais pas comment m'y prendre:
Au démarrage comment empêcher WIndows de charger les services, enfin comment supprimer le fichier .sys avant que Windows ne l'est chargé? Et comment être capable de détecter la menace (je ne parle aps encore de la supprimer) lorsque le driver qui cache l'infection est présent. Comme ça si l'infection est détectée je demande à l'utilisateur de redémarrer, sinon je lui dit que c'est Clean.

Enfin je ne suis pas du tout spécialiste pour cela donc j'aurais bien aimé que Malekal_Morte me dise comment je peux venir à bout d'un rootkit manuellement, et puisse me dire quel rootkit simple je pourrait utiliser (en mode kernel).

Merci beaucoup.

[Malekal_morte]

Les rootkits kernel-mode, c'est en général pas simple.
Je te passerai deux trois liens avec divers rootkits dans la soirée ou demain.

[Cyborg]

Je pense à quelque chose mais je ne sais pas comment m'y prendre:
Au démarrage comment empêcher Windows de charger les services, enfin comment supprimer le fichier .sys avant que Windows ne l'est chargé? Et comment être capable de détecter la menace (je ne parle aps encore de la supprimer) lorsque le driver qui cache l'infection est présent. Comme ça si l'infection est détectée je demande à l'utilisateur de redémarrer, sinon je lui dit que c'est Clean.

Tu voudrais pas plutôt faire un peu comme le scan au démarrage d'Avast? Il programme une analyse qui s'exécutera avant le démarrage complet de Windows. Cependant, je ne sais pas comment faire...

[computer007]

Bonsoir,

Cyborg, oui pourquoi pas, je cherche justement quelle méthode je peux employer pour détecter ce genre de menace.
EDIT: C'est à toi qu'appartient perdu.com?? Mythique ce site! Je n'aurais jamais pensé tomber sur la personne de ce site (si tu es bel est bien le webmaster).

Merci Malekal d'être venu répondre, il n'y a pas de problème j'attends tes liens quand tu auras le temps (et si tu peux m'expliquer brièvement comment faire pour supprimer une menace manuellement ce serait sympa).

Merci beaucoup, bonne soirée à tous

[Cyborg]

Je cherche justement quelle méthode je peux employer pour détecter ce genre de menace.

On s'est mal compris. Gmer a des méthodes afin de détecter les rootkits. Ca, c'est la partie que tu recherches : être capable de les trouver / détecter malgré leur statut de planqués.
La référence à Avast était simplement pour te donner un exemple de programme pouvant être lancé au démarrage, un peu comme un lancement en mode sans échec.

EDIT: C'est à toi qu'appartient perdu.com?? Mythique ce site! Je n'aurais jamais pensé tomber sur la personne de ce site (si tu es bel est bien le webmaster).

Absolument pas. Je garde simplement la référence parce que je le trouve sympa.

[Malekal_morte]

Merci Malekal d'être venu répondre, il n'y a pas de problème j'attends tes liens quand tu auras le temps (et si tu peux m'expliquer brièvement comment faire pour supprimer une menace manuellement ce serait sympa).

Mais tu vas avoir du mal car les rootkits kernel-mode avancés qui forment certains botnet évoluent vite.
De plus, elles ont chacun leur particularité (et en prg les particularité ...).
Ex tu prends Bagle... il te patch un fichier exécutable au pif pour que si tu le vires, il se recharge...
D'autres ont des fichiers au démarrage qui sont mis à jour, toujours pour réinstaller le rk si tu le vires.
etc.

[computer007]

Bonjour,

Veuillez m'excuser pour cette réponse tardive, l'écran de mon PC portable est tombé en rade => retour SAV et tout le tralala, d'où mon absence.

J'ai bien pris note de vos remarques. Etant donné que ce genre de rootkit utilise des méthodes complexes avec des noms aléatoirs, etc.. j'ai décidé de me rabbatre sur quelquechose de similaire mais qui me semble plus abordable.

J'ai utilisé Process Explorer pour essayer de me familiariser un peu avec ce dernier.

En fait j'ai installé sur un PC de test le logiciel ActualSpy (récupérable ici pour la suite http://www.actualspy.com/download.html). Ce dernier dispose d'une fonction qui permet de cacher le processus du gestionnaire de tâche et de processus (sous XP et Vista).
Process Explorer le détecte bien malgrè qu'il soit caché. Pour ma part je ne comprend pas comment ce processus est caché et comment arriver a le killer sans passer par l'outil justement (faire tout cela manuellement, ProcessExplorer doit juste permette de déterminer comment ça fonctionne pour ensuite pouvoir faire ça manuellement).

Je voulais donc demander à Malekal s'il avait le temps d'essayer d'installer ce logiciel, et de m'expliquer comment il fonctionne et comment je pouvais le supprimer manuellement (killer le processus et avant le faire réapparaitre).
Ca serait vraiment sympa parce que de mon côté je cherche, mais là ce genre de fonctions assez pointues je n'arrive pas vraiment à les assimiler (et vu que je ne connais pas, une fois qu'on sait ça parait simple mais avant...)

Merci beaucoup,

Bonne journée

[Cyborg]

Mais tu vas avoir du mal car les rootkits kernel-mode avancés qui forment certains botnet évoluent vite.

Etant programmeur aussi, je pense qu'il voudrait vraiment arriver à le faire sur un exemple précis.
Moi, en tout cas, c'est ce que je voudrais.

Le principe, c'est de toucher aux méthodes, etc.

De plus, elles ont chacun leur particularité (et en prg les particularité ...).

En prog, c'est les points communs qui nous intéressent. 's'en fout des particularités.

Ex tu prends Bagle... il te patch un fichier exécutable au pif pour que si tu le vires, il se recharge...

Et comment fais-tu pour nettoyer un Bagle alors? Parce que là, c'est bien le processus qu'il faut dégager. A la rigueur, le fichier, on s'en fout.

D'autres ont des fichiers au démarrage qui sont mis à jour, toujours pour réinstaller le rk si tu le vires.
etc.

Dans ce cas, il faudrait arriver à bloquer et nettoyer les trucs qui s'installent au démarrage, si une menace a été détectée. D'ailleurs, j'ai pas le souvenir que l'IDS de Comodo ne détecte quoi que ce soit lorsque je lançais un scan au démarrage d'Avast. Hors y'a pas de raison que n'importe qui/quoi puisse exécuter des progs au démarrage de Windows à la manière d'un mode sans échec...

Bon, je parle de façon générique, car je n'ai aucune idée des méthodes à utiliser derrière pour faire ça.
Mais arriver à retirer un rootkit en particulier, ça permet de toucher à ce genre de méthode. Et en touchant à ça, on verra ce qui est faisable, et ce qui ne l'est pas...

[computer007]

Bonjour,

Je me permet de reposter parce que l'échéance approche et j'aurais vraiment souhaité faire une démo pour supprimer un processus caché.

Merci à ceux qui pourront m'aider

[Cyborg]

Tu as cherché de l'aide sur quel type de site, autre qu'ici?

l'échéance approche

Elle est quand ton échéance, à tout hasard?

Pour ma part, je suis désolé, mais jusqu'à la fin juin/début juillet, j'pourrai pas t'apporter une grande aide , j'ai déjà trop de boulot. (Le sommeil, c'est très sur-fait... )

[computer007]

Désolé de ne pas être repassé plus tôt, j'enchaine les partiels...
L'échéance est pour vendredi prochain (il me reste donc un peu plus d'une semaine), mais il faut compter tous les autres partiels à réviser et rédiger le compte rendu.

Je ne suis pas allé voir sur d'autres sites car je ne connais que Malekal pour ce qui est de la sécurité, assez poussée.
C'est pour cela que j'attends...

J'espère qu'il pourra me filer un coup de main, avec ce que j'ai écrit plus haut.

Bonne journée, et merci