Vista et les rootkits

Dans cette partie vous trouverez des papiers, articles sur l'informatique/sécurité.
Malekal_morte
Messages : 110312
Inscription : 10 sept. 2005 13:57

Vista et les rootkits

par Malekal_morte »

Microsoft a travaillé beaucoup sur la sécurité de son nouvel OS.
Deux nouvelles fonctionnalités ont été incluses afin de protéger Vista des intrusions et des rootkits.

Quelques définitions et termes informatiques :

Les rootkits
Les rootkits sont des programmes qui sont capables de se cacher des autres programmes y compris les antivirus. Il existe deux types de rootkits:
- les rootkits user-mode qui se cachent des autres programmes sauf des programmes qui fonctionnent au niveau du kernel (noyau) de Windows.
- les rootkits kernel-mode qui peuvent se cacher de TOUS les programmes.

Pour détecter les rootkits, il faut des scanneur rootkits qui sont capables (mais pas à tous les coup) de détecter leurs présences.

Voir la page : UAC : Pourquoi ne pas le désactiver

Dropper :
Le Dropper est le programme malveillant qui se charge de "dropper" (du verbe to drop en anglais) l'infection sur le système.
C'est en quelque sorte le programme d'installation de l'infection.
Voir la page Dropper & Payload : Explications

UAC (contrôle d'accès utilisateur)
Un des défauts des versions précédentes de Windows étaient que la majorité des utilisateurs surfer sur internet avec les droits administrateurs du système.
Dès lors, toute application exécutée avait accès direct au système, il était alors très simple pour les malwares de s'installer sur le système et ou modifier sa configuration (désactiver le parfe-feu etc..).

Pour pallier à cela, Windows Vista incorpore l'UAC (contrôle d'accès utilisateur). Votre utilisateur n'est plus administrateur, si vous avez besoin d'effectuer des opérations qui nécessitent les droits administrateur (modification des paramètres du système, installation de nouvelles applications..). Une fenêtre vous demandant si vous désirez passer administrateur s'ouvre alors ainsi l'élévation des privilèges est contrôlée.
Dans le cas d'une tentative d'installation de malwares par une faille de sécurité sur votre navigateur.. la même fenêtre s'ouvrira alors, vous n'aurez plus qu'à refuser pour que le malware ne puisse s'installer.

Voir la page UAC : Pourquoi ne pas le désactiver

PatchGuard
Les rootkits en mode kernel modifie la table SSDT (System Service Descriptor Table) afin de rediriger les appels systèmes vers leurs drivers et fausser la réponse ce qui leur permet de se cacher. PatchGuard est un ajout fait à Vista qui se charge d'émpecher les modifications de la table SSDT ceci afin que les rootkits ne puissent plus se cacher.
PatchGuard protège le système contre les rootkits kernel-mode et non les rootkits user-mode.

Vista et l'installation des rootkits

Vista et Magic.Control :

Pour rappel Magic.Control est un rootkit user-mode.
L'installation se fait à travers divers programmes se faisant passer pour des programmes légitimes (MailSkinner, MessengerSkiner, WebMediaPlayer etc..). Les pièges reposent toujours sur le concept de social engineering.

Pendant l'installation de ces programmes, ce dernier injecte le rootkit à l'intérieur du système.

Malheureusement, l'infection fonctionne très bien sur Vista, pourquoi ? tout simplement parce qu'au lancement de l'installation du programme, l'utilisateur reçoit une notification de l'UAC qui lui demande si le programme d'installation doit se lancer avec les droits administrateurs, ce qui est tout à fait normal puisque pour s'installer le programme d'installer doit effectivement avoir les droits administrateurs.
Une fois que le programme d'installation possède les droits administrateurs, il est maître du système et peut tout à fait injecter le rootkit user-mode au sain du système.

Ceci démontre les limites de l'UAC et le rôle de l'utilisateur dans quant à l'intégrité de son système.

Le rootkit user-mode fonctionne très bien sur Vista.

Image


Vista et pe386 :

pe386 est un rootkit kernel-mode. Pour plus d'informations, vous pouvez consulter cette page : http://forum.malekal.com/rootkit-pe386- ... -t982.html

Je possède trois droppers qui installent ce rootkit, en double-cliquant dessus, aucun ne fonctionne. On obtient des erreurs programmes (voir capture ci-dessous).

Image
Image
Image
Image


En lançant le dropper avec les droits administrateurs (clic droit sur le fichier / Executer en tant qu'administrateur), il semblerait que le driver du rootkit s'installe sur le système mais ceci provoque une instabilité du système puisqu'un écran bleu est apparu aussitôt. Cet écran bleu revient à chaque démarrage (surement au chargement du driver).. j'ai du revenir à une configuration connue pour pouvoir démarrer convenablement.

Image

Conclusions :
Il est difficile de faire une conclusion sur un seul système :
- Il semblerait donc que les droppers qui fonctionnent très bien sur Windows XP/2000 plantent lors de l'exécution et l'UAC ne prend pas le relai
- Il semblerait que le driver arrive à se charger si le dropper a les droits administrateur mais provoque un crash de Windows. Impossible donc de confirmer que PatchGuard fait bien son travail (ou PatchGuard participe au crash du système). A noter que les crashs du système sont aussi fréquents sur Windows XP.

Il faut s'attendre à de nouvelles versions du rootkit avec des droppers qui fonctionnant sur Vista.. et un rootkit parfaitement fonctionnel.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 110312
Inscription : 10 sept. 2005 13:57

Re: Vista et les rootkits

par Malekal_morte »

Juste pour signaler que la page est de 2007 et que l'infection Trojan.Win32.Alureon/Trojan.TDSS qui utilise un rootkit kernel-mode fonctionne sur Vista, voir : http://forum.malekal.com/trojan-dnschan ... ml#p174824

En outre aussi, Zbot/Zeus aussi, voir la page : http://forum.malekal.com/zbot-zeus-stealer-t21390.html
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Papiers / Articles »