anti-rootkits - la chasse aux fantômes

ѠOOT

anti-rootkits - la chasse aux fantômes

par ѠOOT »

Bonjour,

Au menu du jour, quelques tests sur un rookit hébergé depuis près d'une semaine sur le site internet d'une société française d'informatique située à Mirebeau-sur-Bèze. Vous connaissez l'expression, les cordonniers sont les plus mal chaussés.. nous allons les recontacter afin qu'ils passent un bon coups de plumeau.

http://****-informatique.fr/infofactuur.zip
Last-Modified: Mon, 30 Nov 2015 19:49:21 GMT

Le fichier ZIP contient "infofactuur.pdf_________________________ ... _______________________ .exe" qui pèse environ ~185 Ko. Le moins que l'on puisse dire c'est que le rapport CAMAS associé n'est pas très bavard. La détection VT au moment de l'ajout sur MDB est à 5/56 (9%). En analyse manuelle, j'obtiens un PE d'environ 14Ko qui a été compilé le 21 mars 2015, il ne possède qu'une seule section de 13 824 octets et la signature de celle-ci est sur liste noire depuis plusieurs mois.

Le code malveillant est un petit rootkit, pour faire très simple, il se "charge" une première fois, assure sa survie et devient furtif. A chaque nouveau processus, il se place en mémoire ( occupe ~28 ko ) donc sous l'environnement de l'utilisateur tous les programmes comme HijackThis, FRST, RogueKiller, Autoruns,.. deviennent totalement inopérants car "invisible". C'est le principe du rootkit. Pour "lutter" à armes égales, l'utilisateur devra utiliser des anti-rootkits.

J'ai ressorti le bon vieux test de virginité écrit par Joanna R. il y a 10 ans.
L'outil est très léger, à peine 100 Ko, c'est propre. Le résultat est sans appel.

System Virginity Verifier
SYSTEM INFECTION LEVEL: 5
0 - BLUE
1 - GREEN
2 - YELLOW
3 - ORANGE
4 - RED
--> 5 - DEEPRED
SUSPECTED modifications detected. System is probably infected!

module ntdll.dll
(section .text) [NtCreateProcessEx()+0]
(section .text) [NtCreateThread()+0]
(section .text) [NtEnumerateValueKey()+0]
(section .text) [NtQueryDirectoryFile()+0]
(section .text) [NtResumeThread()+0]


Dans mes cartons, en poids plume avec 150 Ko je test catchme également créé il y a 10 ans.

detected NTDLL code modification:
ZwEnumerateValueKey, ZwQueryDirectoryFile

scanning hidden registry entries ...

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"D9EE93B4"="C:\Documents and Settings\Administrateur\Application Data\D9EE93B4\bin.exe"


Et puis pour plus de traitements, je test gmer avec ses 800Ko tout mouillé, idem. Je scan les "Sections", test depuis l'onglet Files si les fichiers masqués sont visibles et test l'onglet Registry pour vérifier si on accède bien à la clef Run.

.text C:\WINDOWS\Explorer.EXE[956] ntdll.dll!NtCreateProcessEx → JMP 00B318BB
.text C:\WINDOWS\Explorer.EXE[956] ntdll.dll!NtCreateThread → JMP 00B318FC
.text C:\WINDOWS\Explorer.EXE[956] ntdll.dll!NtEnumerateValueKey → JMP 00B322B9
.text C:\WINDOWS\Explorer.EXE[956] ntdll.dll!NtQueryDirectoryFile → JMP 00B3232B
.text C:\WINDOWS\Explorer.EXE[956] ntdll.dll!NtResumeThread → JMP 00B31945


Je test enfin Malwarebytes Anti-Rootit (MBAR) avec ses 16563352 Ko qui.. ne détecte absolument rien.. pour un anti-rootkit c'est réellement très décevant. Ne cherchez pas midi à quatorze heures, les vieux outils d'il y a 10 ans de quelques centaines de Ko n'ont rien perdus de leurs splendeurs et ont encore de beaux jours devant eux. En cas de doutes sur votre système : lenteurs, anomalies, crashes,... prenez donc la peine d'essayer plusieurs anti-rootkits.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Tech, Tips & Tricks »