les Rootkits existent depuis près de 20 ans maintenant, permettant aux attaquants d’accéder et de voler des données sur les machines des utilisateurs sans être détectés pendant de longues périodes. Le terme est vaguement appliqué à un sous-ensemble d’outils malveillants conçus spécifiquement pour rester cachés sur les ordinateurs infectés et permettre à l’attaquant de contrôler à distance le PC. Pour aider les utilisateurs à comprendre ce qu’est un rootkit et comment on fonctionne, nous avons mis en place un explicateur sur ce type de malware et ce qu’il faut faire si on infecte votre ordinateur.,
définition du Rootkit
le Rootkit est un terme appliqué à un type de malware conçu pour infecter un PC cible et permettre à un attaquant d’installer un ensemble d’outils lui accordant un accès distant persistant à l’ordinateur. Le malware sera généralement caché profondément dans le système d’exploitation et sera conçu pour échapper à la détection par les applications anti-malware et d’autres outils de sécurité., Le rootkit peut contenir un certain nombre d’outils malveillants, tels qu’un enregistreur de frappe, un voleur de mot de passe, un module de vol de carte de crédit ou d’informations bancaires en ligne, un bot pour les attaques DDoS ou des fonctionnalités qui peuvent désactiver le logiciel de sécurité. Les Rootkits agissent généralement comme une porte dérobée qui donne à l’attaquant la possibilité de se connecter à distance à la machine infectée chaque fois qu’il le souhaite et de supprimer ou d’installer des composants spécifiques. Quelques exemples de rootkits basés sur Windows en utilisation active aujourd’hui incluent TDSS, ZeroAccess, Alureon et Necurs.,
Variantes de Rootkit
Les deux principaux types de rootkits sont les rootkits en mode utilisateur et en mode noyau de rootkits. Les rootkits en mode utilisateur sont conçus pour fonctionner dans la même partie du système d’exploitation, des applications. Ils exécutent leur comportement malveillant en détournant les processus d’application en cours d’exécution sur la machine ou en écrasant la mémoire utilisée par une application. Ce le plus commun des deux types. Les rootkits en mode noyau fonctionnent au niveau le plus bas du système d’exploitation du PC et donnent à l’attaquant l’ensemble de privilèges le plus puissant de l’ordinateur., Après l’installation d’un rootkit en mode noyau, et l’attaquant aurait le contrôle complet de l’ordinateur compromis et aurait la capacité d’entreprendre toute action sur elle qu’il a choisi. Les rootkits en mode noyau sont généralement plus complexes que les rootkits en mode utilisateur et sont donc moins courants. Ce type de rootkit est également plus difficile à détecter et à supprimer.
Il existe également quelques variantes de rootkit moins courantes, telles que les bootkits, qui sont conçues pour modifier le chargeur de démarrage de l’ordinateur, le logiciel de bas niveau qui s’exécute avant le chargement du système d’exploitation. Ces dernières années, une nouvelle classe de rootkits mobiles a vu le jour pour attaquer les smartphones, en particulier les appareils Android. Ces rootkits sont souvent associés à une application malveillante téléchargée à partir d’un magasin d’applications ou d’un forum tiers.,
méthode d’Infection
les Rootkits sont installés par une variété de méthodes, mais le vecteur d’infection le plus commun est par l’utilisation d’une vulnérabilité dans le système d’exploitation ou une application en cours d’exécution sur l’ordinateur. Les attaquants ciblent les vulnérabilités connues et inconnues du système d’exploitation et des applications et utilisent le code d’exploitation pour obtenir une position privilégiée sur la machine cible. Ils installent ensuite le rootkit et mettent en place des composants qui permettent l’accès à distance à l’ordinateur. Le code d’exploitation d’une vulnérabilité spécifique peut être hébergé sur un site Web légitime qui a été compromis., Un autre vecteur d’infection est via des lecteurs USB infectés. Les attaquants peuvent laisser des clés USB avec des rootkits cachés sur eux dans des endroits où ils sont susceptibles d’être trouvés et ramassés par les victimes, tels que les immeubles de bureaux, les cafés et les centres de conférence. Dans certains cas, l’installation du rootkit peut toujours reposer sur des vulnérabilités de sécurité, mais dans d’autres, le logiciel malveillant peut s’installer dans le cadre d’une application ou d’un fichier apparemment légitime sur la clé USB.,
suppression
détecter la présence d’un rootkit sur un ordinateur peut être difficile, car ce type de malware est conçu pour rester caché et faire ses affaires en arrière-plan. Il existe des utilitaires conçus pour rechercher des types connus et inconnus de rootkits à travers diverses méthodes, y compris l’utilisation de signatures ou d’une approche comportementale qui tente de détecter un rootkit en recherchant des modèles de comportement connus. La suppression d’un rootkit est un processus complexe et nécessite généralement l’utilisation d’outils spécialisés, tels que L’utilitaire TDSSKiller de Kaspersky Lab qui peut détecter et supprimer le rootkit TDSS., Dans certains cas, il peut être nécessaire pour la victime de réinstaller le système d’exploitation si l’ordinateur est trop endommagé.