Les Rootkits en 64 Bits ?

[gueguet]

Bonjour !

J'ai quelques petites questions a vous poser sur les rootkits :

• Tout d'abord les Helpers , avez vous deja vu un rootkit sur un Ordinateur en 64 Bits ?
  Les Anti-Rootkits ( Anti-Stealth de NOD32 par exemple ) sont t-ils efficaces ?
  PatchGuard Fait-il bien son travail ?

Merci encore et bonne journée !

[Malekal_morte]

Salut,

Normalement il y en a moins.
Le truc c'est que les programmes qui permettent de les déceler (style GMER, Combofix) marche pas sur du 64 bits puisqu'ils ne peuvent pas charger de driver non signé.
J'imagine que pour les rootkits, c'est la même chose.

Voir cette étude made in MS : http://blogs.technet.com/b/mmpc/archive ... tkits.aspx

[sioban]

Il y a eu des proofs of concept lors du dernier Blackhat : http://blackhat.com/html/bh-usa-07/bh-u ... #Rutkowska

Je sais que plusieurs AV qui ont des moteurs antirootkits sont portés sous 64bits comme SAR de sophos.
C'est que la menace est réélle.

Donc à la question : Patchguard fait-il bien son travail la réponse est non.
Et à la question, est-ce que la méthode de protection de M$ est bénéfique, la réponse est au mieux : cela temporise pour l'instant.

Le soucis c'est que les rootkits ne vont pas attendre que les désinfecteurs ai obtenu une licence qu'ils ne pourront pas payer.

[Malekal_morte]

Bha ça dépend ce que tu entends par travail pour le PatchGuard ?

A l'heure actuelle, il fait quand meme son boulot dans le sens où il y a bcp bcp bcp moins de rootkits sur 64 bits.
Suffit de voir sur les forums de désinfections, aucun post pour du TDSS/Alueron sur les architectures 64 bits.

Maintenant les solutions, en sécurité, c'est comme tout, c'est jamais acquis sur la duré.... y a tjrs moyen.

[sioban]

oui la réponse devrait plutôt être "oui à moyen termes"

[Malekal_morte]

tada! http://forum.malekal.com/rootkit-tdss-t ... ml#p224969

[sioban]

Bon ben ça c'est fait.
Il n'y a plus qu'a espérer que les outils de nettoyage s'accordent...

[moment de grace]

bonjour à vous

je suis tombé sur cette discussion pour des recherches perso

et je vous donne ce lien qui pourrait compléter le sujet

http://www.developpez.com/actu/20407/Wi ... sur-le-Web

@+

[peplvm]

Salut,

Au moins perso, j'apprends l'existence de ``Prevx`` grâce à ton lien.

[sioban]

Il y a des liens prevx sur virustotal depuis un bout de temps ;)

[Malekal_morte]

KB2506014 : driver signature enforcement : pour vu qu'ça dure !

[Malekal_morte]

Un autre malware rootkit dispo en 64 bits : Rootkit.Win64.Banker.a, Rootkit.Win32.Banker.dy
(Les bankers viennent en général du Brésil).
Les noms des drivers : plusdriver.sys and plusdriver64.sys

source : http://www.securelist.com/en/blog/11266 ... _to_64_bit

[scapula]

oui il existe des rootkit pour les systèmes en 64x actuelement j'utilise un rootkit de type ring3 pour le unhook des apis de mon programme qui fonctionne parfaitement sur les 64x. PatchGuard que dire de lui si je me souviens bien il bloque les fichiers .sys de type drivers qui sont souvent utilisé par les rootkits malheureusement pour lui pas tous les malwares utilisant les méthodes rootkit utilise des drivers.

[Malekal_morte]

il bloque les fichiers .sys de type drivers qui sont souvent utilisé par les rootkits

Il bloque les drivers non signés.
Surement aussi que ça rajoute une surcouche de protection.

Mais bon comme TDSS, il tape dans le MBR.
Par contre ZAcess patch les drivers existants et marche sur 64 bits.
Donc des contournements, il en existe.

[Malekal_morte]

J'ai pondu cette page : https://www.malekal.com/2011/09/07/root ... s-64-bits/