Rootkits – Volet 1/3 : Une menace grandissante

Livre blanc | Avril 2006
Rootkits – Volet 1/3 :
Une menace grandissante
www.mcafee.com
Livre blanc | 2006
Página 2
Table des matières
Principales conclusions
3
Résumé
3
Programmes malveillants furtifs (ou rootkits) : perspective historique
3
Rootkits et programmes malveillants : la controverse
4
Tendances technologiques des rootkits
5
Références bibliographiques
8
www.mcafee.com
Livre blanc | 2006
Principales conclusions
1. En l'espace de trois années seulement, l'utilisation de
techniques de furtivité dans les programmes malveillants
(malwares) a progressé de plus de 600 pour cent.
Página 3
Programmes malveillants furtifs (ou rootkits) :
perspective historique
Au départ, un rootkit n'était qu'un simple regroupement d'outils
fournissant un accès de niveau administrateur — appelé en
terminologie Unix un accès racine (« root » en anglais) — à un
2. De 2000 à 2005, la complexité des rootkits a augmenté de plus
de 400 pour cent. Entre le 1er trimestre 2005 et le 1er trimestre ordinateur ou à un réseau. Ce terme faisait ainsi référence à un
ensemble d'outils Unix recompilés, parmi lesquels ps, netstat, ls et
2006, cette tendance s'est chiffrée à plus de 900 pour cent.
passwd. Un auteur d'attaques pouvait avoir recours à ces mêmes
3. En 2001, la part de tous les composants furtifs dans les logiciels
outils pour masquer toute trace d'intrusion, d'où l'association du
malveillants visant spécifiquement Linux culminait à 71 pour
terme « rootkit » au caractère furtif. Et lorsque la tactique d'attaque
cent, pour décroître jusqu'à un nombre négligeable en 2005.
furtive a été exploitée dans l'environnement Windows, cette même
En revanche, le nombre de tels composants prenant pour cible
appellation était déjà toute désignée pour la qualifier. Aujourd'hui,
®
Windows a littéralement explosé, avec une augmentation de
rootkit (littéralement, « kit racine ») est un mot couramment
2 300 pour cent au cours de la même période.
employé pour décrire les programmes malveillants (malware), tels
4. Le phénomène du code source libre, de même que les sites de que les chevaux de Troie, les vers et les virus, qui dissimulent
activement leur existence et leurs actions pour passer inaperçus
collaboration en ligne et les blogs sont les principaux
responsables de la prolifération et de la complexité accrues des auprès des utilisateurs et des autres processus système.
composants de rootkit.
La dissimulation d'un programme malveillant pour le soustraire à
l'attention des utilisateurs et des logiciels de sécurité est une
5. Les auteurs de programmes malveillants voient dans la plate1
forme Windows une cible irrésistible, non seulement en raison pratique qui remonte au tout premier virus informatique, Brain ,
dont la mise en circulation initiale date de 1986. Brain échappait
de sa diffusion massive mais aussi parce qu'avec ses
nombreuses interfaces de programmation d'applications (API) aux détections en interceptant les interrogations au niveau du
secteur d'amorçage des ordinateurs et en redirigeant les
non documentées, s'y attaquer représente un véritable défi
opérations de lecture vers un autre emplacement sur le disque.
technique.
2
Quand, en 1987, le virus Lehigh fut maîtrisé très peu de temps
6. Les programmes qui ont recours à des techniques de furtivité
après sa diffusion, justement parce qu'il ne faisait pas mystère de
ne sont pas nécessairement des rootkits à proprement parler,
sa présence, les créateurs de virus ont bien vite pris conscience du
mais ils favorisent la propagation de logiciels malveillants, qui
fait que la furtivité d'un virus était déterminante pour sa longévité.
sans eux auraient une progression plus limitée.
A la fin des années 1980 et au début des années 1990, les auteurs de
programmes malveillants ont continué à développer des virus DOS
Résumé
toujours plus complexes, élaborant des techniques de furtivité
Les rootkits constituent pour les systèmes informatiques modernes innovantes pour empêcher leur détection. Parmi les nombreuses
une menace aussi insaisissable qu'omniprésente. Ils exploitent des méthodes élaborées, citons deux des plus courantes. La première
techniques de furtivité de plus en plus sophistiquées, à tel point
est l'interception d'interruptions d'entrées-sorties disque dans le
que la lutte contre les rootkits et leurs dommages représentent une BIOS pour des appels en lecture (INT 13) et leur remplacement par
véritable gageure. Ce livre blanc établit une distinction entre, d'une des résultats modifiés. La seconde est la désinfection en continu
part, les techniques de furtivité qui sont simplement des stratégies d'un secteur de disque dès qu'un programme, et notamment un
de dissimulation de fichiers, de processus et d'activités et, d'autre
analyseur antivirus, est démarré, pour ensuite réinfecter ce secteur
part, les rootkits à proprement parler, terme désormais associé aux au terme de l'exécution du programme en question. Le virus du
3
logiciels malveillants qui camouflent leurs activités. Il propose en
secteur d'amorçage Tequila , lancé en 1991, et le virus infecteur de
4
outre un historique des techniques de furtivité et des techniques
fichiers 1689 Stealth , introduit en 1993, faisaient appel à ces
mises en œuvre par les rootkits, afin que vous puissiez mieux
techniques pour que leurs tailles de fichier accrues ne puissent pas
comprendre l'évolution de ces menaces. Il analyse également les
être repérées, symptôme qui constitue communément un indice
technologies et les motivations qui sous-tendent la prolifération
évident d'infection. Des virus DOS ayant vu le jour par la suite
des rootkits, étudie les dernières tendances et envisage les
interceptaient des fonctions de niveau supérieur, comme les
perspectives d'avenir de cette forme relativement nouvelle de
appels de pilote DOS, pour dissimuler leur présence ou pérenniser
programme malveillant.
l'infection.
www.mcafee.com
Livre blanc | 2006
page 4
L'émergence de Windows au milieu des années 1990 s'est
accompagnée d'une immunité aux virus DOS et d'une brève
accalmie dans les innovations en matière de furtivité. Avant de
pouvoir mettre au point des subterfuges pour contourner les
défenses de la plate-forme, les auteurs de virus ont dû apprendre à
utiliser les API de Windows et son architecture mémoire protégée.
Fin 2001, la trêve a pris fin avec l'arrivée des chevaux de Troie
5
6
NTRootkit et — plus tard, en 2003 — HackerDefender . Tous deux
interceptaient des appels de fonctions de très bas niveau propres
au système d'exploitation, de façon à masquer leur présence.
ailleurs dérober des informations confidentielles, bloquer des
ressources système, détruire des données ou accomplir d'autres
actions malveillantes. Les chevaux de Troie sont quant à eux des
programmes qui semblent être des applications logicielles
bénignes, voire utiles, mais qui renferment du code malveillant. Ils
ne se répliquent pas automatiquement, mais ils peuvent amener
un ordinateur infecté à télécharger d'autres programmes
malveillants qui ont bel et bien recours à la réplication
automatique. Les vers sont constitués de code malveillant ; ils se
répliquent en diffusant des copies d'eux-mêmes par
l'intermédiaire d'un réseau partagé, de disquettes ou encore de
L'évolution des technologies de furtivité est allée de pair avec celle
lecteurs USB, souvent de façon autonome sans intervention de la
de l'environnement informatique. Des conventions de
part de l'utilisateur. Bien que semblables aux chevaux de Troie et à
dénomination fallacieuses et des techniques de manipulation
d'autres programmes malveillants en cela qu'ils dérobent souvent
réseau ou autres ont été élaborées pour dissimuler les programmes
des informations confidentielles et privées, les programmes
malveillants au nez et à la barbe de tous. L'une des approches les
potentiellement indésirables (PUP) n'appartiennent pas à cette
plus simples et pourtant les plus efficaces consiste à renommer un
catégorie parce que leur installation et leur exécution nécessitent
fichier infecté pour qu'il passe pour un fichier utilisateur ou
l'approbation tacite de l'utilisateur.
système légitime. Illustrons notre propos par un exemple. Le
Il convient cependant de préciser que les technologies de furtivité
cheval de Troie scvhost.exe ou svehost.exe peut se trouver dans le
ne sont pas l'apanage des programmes malveillants. Les PUP et les
répertoire system32 de Windows en même temps que le fichier
applications logicielles commerciales y recourent de plus en plus
d'origine nommé svchost.exe. De plus, un cheval de Troie
pour empêcher qu'on ne les supprime. En avril 2005, Adwareégalement nommé svchost.exe peut s'exécuter à partir des
9
répertoires Windows ou WINNT. L'utilisateur ne considère pas les Isearch a été l'un des premiers logiciels publicitaires découverts
utilisant ce type de technologie. Depuis lors, plusieurs autres ont
fichiers du cheval de Troie comme suspects. Il est dupé dans le
10
11
12
été mis au jour, notamment Apropos , Qoolaid et DigitalNames ,
premier cas par l'étroite ressemblance entre les noms des fichiers
factices et le nom légitime ; dans le second cas, par son ignorance
tous trois ayant été réaffectés à la catégorie des chevaux de Troie en
de l'emplacement correct du fichier d'origine, à savoir le répertoire raison de l'ampleur de la menace qu'ils représentaient pour
system32 de Windows.
l'utilisateur.
L'avènement d'Internet a offert de nouvelles opportunités et de
nouveaux outils tant aux auteurs d'attaques qu'aux responsables
de la sécurité. Les créateurs de programmes malveillants y ont
trouvé de nouveaux vecteurs de propagation et des légions de
victimes potentielles. Pour les responsables de la défense des
systèmes, Internet apportait de nouveaux moyens de détection
réseau en temps réel, autorisant via des solutions de prévention
des intrusions (IPS) et d'autres équipements de surveillance du
trafic un contrôle permanent de l'activité malveillante.
De nos jours, pour être efficace, une technologie de furtivité doit
masquer ou protéger les fichiers, les processus et les entrées de
Registre qu'elle met en œuvre. Plus que jamais, les programmes
malveillants doivent brouiller soigneusement les pistes en
manipulant des paquets bruts sur le réseau, la pile TCP/IP, le
7
23
protocole TCP/IP ainsi que le BIOS pour éluder certaines des
technologies de sécurité les plus évoluées.
Rootkits et programmes malveillants : la
controverse
Les programmes malveillants revêtent de nombreuses formes. Des
différences marquées distinguent cependant les virus, les chevaux
de Troie, les vers et les programmes potentiellement indésirables
(en anglais PUP, pour potentially unwanted programs). A l'instar
de leurs homonymes biologiques, les virus informatiques sont des
programmes qui se répliquent automatiquement. Ils peuvent par
Il est tentant de classer au rang de « rootkit » tous les logiciels qui
emploient des techniques de furtivité, mais on court le risque ce
faisant de diluer le sens et d'affaiblir l'impact de ce terme et de sa
®
définition. McAfee et d'autres ont adopté le point de vue suivant
lequel les logiciels commerciaux recourant à des techniques de
furtivité appartiennent à la classe des PUP et non à celle des
rootkits. Toutefois, d'autres acteurs du secteur de la sécurité
estiment que la furtivité elle-même n'est jamais justifiée et que
tout recours à ce type de technique mérite donc de se voir associer
l'appellation « rootkit », avec les connotations négatives qu'elle
13,14,15
. Cette querelle d'experts relativement obscure s'est
implique
transformée en une controverse qui a défrayé la chronique lorsque,
28
le 31 octobre 2005, Mark Russinovich publia dans son blog les
résultats de certaines de ses recherches. Le logiciel de gestion des
droits numériques de Sony BMG, Extended Copy Protection (XCP),
fut mis sur la sellette parce qu'il recourait à des technologies de
furtivité et rendait les ordinateurs sur lesquels il était installé
vulnérables aux attaques. A la fin de 2005, les laboratoires McAfee
™
AVERT ont d'ailleurs classé cette application commerciale
comme PUP en raison de son possible détournement à des fins
malveillantes.
XCP comprend une mise en œuvre de pilote de périphérique avec
privilèges au niveau du noyau. Le pilote masque des processus et
des fichiers de gestion des droits numériques de telle sorte que
l'utilisateur ne puisse pas les désactiver et réaliser des copies
illégales de fichiers musicaux. Cette protection résulte de l'écriture
www.mcafee.com
Livre blanc | 2006
page 5
de code en mode noyau qui dissimule tout fichier, dossier ou
Tendances technologiques des rootkits
processus débutant par la chaîne « $sys$ ». Malheureusement, tout
Cette section aborde les raisons qui expliquent l'adoption et la
programme malveillant dont le nom comporterait cette même
chaîne échapperait aussi à la vigilance de la plupart des analyseurs diversité grandissantes des rootkits, les motivations de leurs
auteurs et les tendances technologiques qui marqueront l'avenir
antivirus.
des rootkits.
Comme l'on pouvait s'y attendre, les auteurs de code malveillant
ont saisi la balle au bond et écrivent désormais des programmes
1re tendance : le concept des rootkits s'élargit pour
utilisant le logiciel installé par Sony pour masquer leurs fichiers ;
englober, au-delà des chevaux de Troie, d'autres
17
c'est le cas par exemple des variantes du ver W32/Brepibot qui,
formes de programmes malveillants et de PUP
apparu en novembre 2005, s'est propagé via des canaux IRC
(Internet Relay Chat) en exploitant cette faille.
Au cours des trois dernières années, le taux d'incidence des
technologies de furtivité dans les programmes malveillants, les
Le cas de cette application commerciale remet en cause
PUP et les applications commerciales a plus que sextuplé. Comme
l'opportunité de baptiser « rootkits » tous les programmes, sans
l'illustre le graphique 1, en 2005, ces technologies n'étaient plus
distinction, faisant appel à des technologies de furtivité. Si le
l'exclusivité des chevaux de Troie, mais elles se rencontraient
recours à la furtivité devient une pratique courante, il sera peutégalement dans d'autres formes de logiciels malveillants, ainsi que
être plus approprié de réserver le terme « rootkit » exclusivement
dans les PUP et les applications commerciales.
aux programmes malveillants qui emploient de telles techniques.
McAfee et d'autres sociétés ont adopté ce point de vue, classant
18
XCP simplement dans la catégorie des PUP et non des rootkits .
La controverse au sujet des techniques de furtivité est toujours
d'actualité. Le 10 janvier 2006, moins de deux mois après le tollé
provoqué par XCP, la communauté antivirus a été secouée jusque
dans ses fondements par une révélation extraordinaire : Symantec
a intégré des techniques de furtivité dans l'un de ses produits afin
19
de masquer un répertoire nommé NProtect . S'il représente un
risque potentiel moindre pour la sécurité que XCP, NProtect ne
masque pas moins divers fichiers dans un répertoire invisible aux
analyses antivirus. Les auteurs de programmes malveillants
pourraient donc, en théorie, protéger leurs fichiers en les plaçant
dans le répertoire NProtect. Symantec se justifie en prétendant que
l'emploi de techniques de furtivité constitue un mécanisme
important pour lutter contre le code malveillant. Mais de
nombreux acteurs du secteur s'indignent : ils trouvent
inadmissible d'adopter et de légitimer les technologies mêmes
qu'exploitent et diffusent leurs adversaires dans la lutte pour la
sécurité informatique.
La révélation selon laquelle le moteur de Kaspersky Anti-Virus
24
(KAV) employait la technologie iStreams a ravivé le débat
concernant l'utilisation de techniques de furtivité dans les logiciels
commerciaux. iStreams améliore les performances de l'analyseur
KAV en stockant le total de contrôle de fichiers déjà analysés dans
des flux de données alternatifs (ADS, Alternate Data Stream) NTFS.
Kaspersky prétendait que masquer les flux NTFS ne représentait
aucune menace, dans la mesure où ceux-ci constituent des
données internes du programme et se reconstituent donc par eux20
mêmes s'ils sont écrasés par des données ou du code nuisible .
Bien que cette technique de masquage de données n'engendre
aucun risque majeur pour la sécurité, elle a fait couler beaucoup
d'encre et s'est attirée de nombreuses critiques.
Source : Laboratoires McAfee AVERT
Graphique 1 : prévalence croissante des techniques de
furtivité dans les logiciels
L'engouement soudain pour les technologies de furtivité peut être
attribué à l'essor de la collaboration en ligne dans le domaine. Des
sites web tels que www.rootkit.com contiennent des centaines de
lignes de code de rootkit. Tout ce code ainsi que des exécutables
binaires peuvent être intégrés sans peine dans des logiciels
malveillants. Plusieurs rootkits en circulation sont directement
empruntés des technologies de furtivité disponibles sur ces sites
web ou en constituent des évolutions. Citons à titre d'exemple
AFXrootkit, NTRootkit, FURootkit, He4Hook et PWS-Progent. Pire
encore, certains articles de blog présents sur de tels sites vont
jusqu'à apprendre aux aspirants pirates à contourner les
mécanismes de détection des analyses antivirus, en compilant euxmêmes du code source. On peut y lire des commentaires du genre :
« Et si nous faisions preuve d'un peu de créativité ? Vous savez
www.mcafee.com
Livre blanc | 2006
compiler du code source, n'est-ce pas ? A mon humble avis, les
antivirus rechercheront ce fichier en particulier et une simple
modification par-ci par-là devrait lui permettre d'échapper à ce
13
bon vieil analyseur. Du moins pendant un certain temps ».
2e tendance : les rootkits deviennent de plus en plus
complexes
La collaboration par Internet ne se contente pas de diffuser les
technologies de furtivité. Elle favorise en outre le développement
de nouvelles techniques plus complexes. Cette complexité peut
notamment se mesurer au nombre de fichiers de composants que
comprend un package logiciel. Ainsi, on peut imaginer un rootkit
(appelons-le a.exe) qui installe les fichiers b.exe, c.dll et d.sys, où
d.sys installe le composant furtif du rootkit, le nombre total de
composants étant égal à quatre. De plus, il est supposé que d.sys
dissimule ou protège d'autres fichiers du package. Le graphique 2
illustre combien les rootkits ont gagné en sophistication au cours
de ces six dernières années. La complexité des rootkits connus a
augmenté de presque 200 pour cent en 2005. Comparativement,
seulement 60 composants furtifs ont été envoyés à McAfee AVERT
au cours du premier trimestre 2005. Au cours de la même période
en 2006, ce nombre est monté en flèche pour atteindre
612 composants, soit une hausse de plus de 900 pour cent. Si le
nombre d'échantillons envoyés a augmenté également, la vaste
majorité de cette progression résulte de la nature de plus en plus
hétérogène des technologies employées par les rootkits.
page 6
d'exploitation mais aussi de ses nombreuses API non documentées
et du défi techniques que celles-ci représentent.
Le graphique 3 illustre la croissance de rootkits « purs » sous
F1
Windows et la tendance qui consiste à les incorporer dans des
programmes malveillants appartenant à d'autres catégories.
Initialement observé en 2001, NTRootkit et ses variantes étaient en
circulation jusqu'en 2005. Les rootkits HackerDefender, AFXRootkit
et PWS-Progent ont fait leur première apparition en 2003.
HackerDefender a progressé de façon considérable au cours de ces
dernières années, alors que des variantes d'AFXRootkit et de PWSProgent ont été détectées très récemment, à la fin de 2005. Des
rootkits relativement évolués, comme FURootkit, comptent parmi
les plus répandus à ce jour. Ces derniers mois, des technologies de
furtivité intégrées dans diverses formes de programmes
malveillants, tels que Backdoor-CEB, AdClicker-BA, W32/Feebs,
Backdoor-CTV, Qoolaid, PWS-LDPinch, Opanki.worm et
W32/Sdbot.worm, ont également été découvertes.
Graphique 3 : augmentation du nombre de composants
présents dans les rootkits
4e tendance : des vecteurs d'attaque par rootkit se
retrouvent dans des logiciels illégitimes mais aussi
légitimes
Source : Laboratoires McAfee AVERT
Graphique 2 : répartition des techniques de furtivité par
famille de logiciels
3e tendance : les rootkits incorporés dans Windows
deviennent prédominants
D'après les observations, la majeure partie du code de rootkit
développé récemment vise la plate-forme Windows. Après avoir
atteint un point culminant à 70 pour cent en 2001, le
développement de code furtif visant Linux est désormais
négligeable. Si les rootkits ciblant Linux perdureront très
certainement, ceux qui s'attaquent à Windows dominent
clairement la scène et continueront à le faire dans un avenir
proche, essentiellement en raison de la popularité de ce système
La polyvalence des technologies de furtivité a favorisé leur
intégration massive à pratiquement tous les vecteurs d'attaque de
logiciels malveillants connus. Par ailleurs, leur popularité a même
convaincu les éditeurs de logiciels commerciaux de les introduire
dans leurs produits. Comme le montre la figure 1, les vecteurs
d'injection de technologies de furtivité couvrent désormais tout le
spectre des méthodes de distribution des logiciels : des exploits ne
nécessitant aucune interaction avec l'utilisateur jusqu'aux
applications fiables et installées par l'utilisateur. Quelques
exemples de rootkits bien connus et de leurs vecteurs d'attaque
illustrent combien leur champ d'action est vaste. Backdoor-BAC a
été distribué par des messages de spam, des téléchargeurs de
22
6
cheval de Troie et des exploits directs . HackerDefender est
généralement diffusé via du spam, des robots, des exploits directs
et des applications peer-to-peer de partage de fichiers. Certains
F1
Les rootkits dits « purs » sont des rootkits preuves de concept, tels que Ntrootkit ou
FURootkit, qui mettent en œuvre des techniques de rootkit innovantes.
www.mcafee.com
Livre blanc | 2006
rootkits observés sont téléchargés par l'intermédiaire de vers de
mass-mailing dans le but de créer des attaques combinées
16
complexes. Citons à ce propos l'exemple de Backdoor-CEB , qui
29
30
était téléchargé par W32/MyDoom.bb , W32/MyDoom.bc et
31
32,33
W32/MyDoom.d . FURootkit semble être le favori de robots tels
34
35
que SDbot et Opanki en raison de sa structure hautement
36
complexe et de son déploiement aisé. Quant à W32/Feebs , il
figurait parmi les premiers rootkits à se propager par pièce jointe à
un e-mail ainsi que par des réseaux peer-to-peer.
Des applications groupées distribuant des logiciels publicitaires
constituent une autre source de prédilection des technologies de
furtivité. Elles se présentent généralement sous la forme de PUP.
Un échantillon de ce type envoyé à McAfee et nommé build2.exe a
9
été détecté sous le nom de Adware-Isearch . Composé notamment
d'un utilitaire de recherche sur poste de travail et d'un plug-in
Firefox, il créait des icônes assurant la promotion du programme
antispyware spywareavenger (www.spywareavenger.com) et de
l'antivirus VirusHunter (www.virushunter.com). Toutefois, cette
offre groupée contenait également un programme publicitaire,
aBetterIntrnt, qui téléchargeait un utilitaire. Ce dernier installait à
son tour plusieurs autres programmes publicitaires sur
l'ordinateur. Enfin, Adware-Isearch déposait un rootkit en mode
noyau pour protéger tous les fichiers nouvellement installés afin
qu'ils ne puissent pas être supprimés, que ce soit par l'utilisateur,
21
un analyseur antivirus ou un analyseur antispyware .
page 7
5e tendance : l'intégration des technologies de
furtivité devient toujours plus aisée
Du code de rootkit et des kits de création de code furtif sont
disponibles, de sorte que les auteurs de programmes malveillants
peuvent facilement masquer des processus, des fichiers et des
entrées de Registre, même s'ils n'ont pas une connaissance
approfondie du système d'exploitation qu'ils visent. La figure 2
illustre la simplicité d'une telle opération : l'interface utilisateur du
kit de création de code furtif Nuclear Rootkit nécessite uniquement
l'entrée d'un nom de fichier ou de répertoire et un simple clic pour
recourir à diverses techniques de furtivité et créer ensuite du code
binaire personnalisé qui masque le fichier ou le répertoire en
question, de même que les ports, les processus et les entrées de
Registre concernés.
Plus récemment, des technologies de furtivité se sont propagées
via des vecteurs de logiciels commerciaux, c'est-à-dire des
programmes considérés comme fiables, comme cela fut le cas avec
18
XCP . La majorité des utilisateurs qui souhaitaient écouter des CD
musicaux Sony protégés ont autorisé l'installation de XCP,
Figure 2 : interface utilisateur simpliste de Nuclear
l'estimant fiable, installant en même temps à leur insu ces
Rootkit
technologies de furtivité qui exposaient leurs ordinateurs à de
Bien que le kit dont l'interface est illustrée ci-dessus soit disponible
graves risques de sécurité.
gratuitement pour téléchargement, d'autres kits plus complexes et
personnalisés sont commercialisés librement à des prix allant de
200 à 2 000 dollars, comme A-311 Death et l'édition Gold de
HackerDefender. Les implications d'une telle facilité d'accès sont
mises en lumière par le succès retentissant des attaques par
phishing liées à Backdoor-BAC (alias Haxdoor et A-311 Death). Ce
cheval de Troie a pu collecter des milliers de numéros
d'identification personnels bancaires, de mots de passe et d'autres
informations confidentielles, qui étaient ensuite transmis à son
22
auteur .
L'appât du gain et les frais de démarrage relativement faibles ont
incité les pirates et les auteurs de programmes malveillants à écrire
de nouveaux rootkits éludant les mécanismes de détection des
analyseurs antivirus et d'autres produits de sécurité. Pour les
acteurs du secteur de la sécurité informatique, le fait que ces
délinquants recourent à la collaboration en ligne constitue un
problème de taille à mesure qu'il devient de plus en plus difficile
de conjurer, de détecter et de supprimer leurs programmes
malveillants toujours plus complexes.
Figure 1 : diversité des vecteurs d'attaque — canaux de
propagation des rootkits
www.mcafee.com
Livre blanc | 2006
L'avenir des rootkits
En 2004, McAfee a enregistré approximativement 15 000 chevaux
de Troie, dont seulement 0,87 pour cent étaient des rootkits pour
Windows. L'année suivante, McAfee en a dénombré environ
30 000, mais cette fois la proportion de rootkits était nettement
plus élevée : presque deux pour cent, ce qui correspond à un taux
de croissance nominal de près de 400 pour cent. Sur la totalité des
programmes malveillants et des PUP, McAfee signale une hausse
de plus de 900 pour cent du nombre de composants de rootkit qui
lui ont été communiqués au premier trimestre de 2006 par rapport
au même trimestre de l'année précédente.
page 8
14. When’s a Rootkit Not a Rootkit? In Search of Definitions,
http://www.eweek.com/article2/0,1895,1913083,00.asp
15. Some Rootkits Are Worse Than Others,
http://www.eweek.com/article2/0,1895,1910240,00.asp
16. Backdoor-CEB,
http://vil.nai.com/vil/content/v_131340.htm
17. W32/Brepibot,
http://vil.nai.com/vil/content/v_133091.htm
18. XCP, http://vil.nai.com/vil/content/v_136855.htm
19. « Symantec Caught in Norton 'Rootkit' Flap »
Bien qu'une nouvelle version de Windows (Vista) soit attendue
tout prochainement, tant que celle-ci n'aura pas été largement
adoptée, il ne faut pas espérer qu'elle s'accompagnera d'un déclin
de l'activité liée aux programmes malveillants (suivant un
phénomène comparable à la trêve constatée lors de la sortie de
Windows 95). Par conséquent, la facilité de déploiement des
rootkits et leur succès grandissant auprès des auteurs de
programmes malveillants nous laissent présager qu'au cours des
deux ou trois années à venir, la croissance des rootkits ciblant
l'architecture Windows actuelle atteindra un taux annuel d'au
moins 650 pour cent et que de nouvelles techniques plus
sophistiquées et pernicieuses verront probablement le jour. Notre
prochain livre blanc, « Rootkits — Volet 2/3 : Introduction
technique », analyse dans le détail l'évolution des techniques de
furtivité et se penche sur l'avenir des technologies intégrées dans
les rootkits. Le troisième livre blanc, qui clôt cette série, étudie
les stratégies de sécurité pratiques à mettre en œuvre pour
combattre ces rootkits, dès aujourd'hui et à l'avenir.
Références bibliographiques
1. Brain, http://vil.nai.com/vil/content/v_221.htm
http://www.eweek.com/article2/0,1895,1910077,00.asp
20. « No Rootkit in Kaspersky Anti-Virus »,
http://www.viruslist.com/en/weblog?weblogid=177727537
21. Re: Sunbelt Software Distribution Inc. (« SunBelt »);
Classification of iDownload.com’s isearch Toolbar Product,
http://www.sunbelt-software.com/blog/sunbelt_idownload.pdf
22. Backdoor-BAC.gen, http://vil.nai.com/vil/content/v_138676.htm
23. Implementing and Detecting an ACPI BIOS Rootkit,
John Heasman
24. « Symantec, Kaspersky Criticized for Cloaking Software »,
http://www.pcworld.com/news/article/0,aid,124365,00.asp
25. Adclicker-BA,
http://vil.mcafeesecurity.com/vil/content/v_128301.htm
26. AFXrootkit, http://vil.nai.com/vil/content/v_102335.htm
27. Adware-Elitebar,
http://vil.nai.com/vil/content/v_133782.htm
28. Mark’s Sysinternals Blog: Rootkits in Commercial Software,
2. Lehigh, http://vil.nai.com/vil/content/v_705.htm
http://www.sysinternals.com/blog/2006/01/rootkits-in-
3. Tequila, http://vil.nai.com/vil/content/v_98230.htm
commercial-software.html
4. 1689 Stealth, http://vil.nai.com/vil/content/v_98083.htm
29. W32/MyDoom.bb,
5. NTRootkit, http://vil.nai.com/vil/content/v_99877.htm
6. HackerDefender, http://vil.nai.com/vil/content/v_100035.htm
http://vil.nai.com/vil/content/v_131856.htm
30. W32/MyDoom.bc,
7. Greg Hoglund, James Butler, « Subverting the Windows Kernel:
Rootkits »
http://vil.nai.com/vil/content/v_131860.htm
31. W32/MyDoom.bd,
8. Adware-SaveNow,
http://vil.mcafeesecurity.com/vil/content/v_100836.htm
9. Adware-Isearch, http://vil.nai.com/vil/content/v_133320.htm
http://vil.nai.com/vil/content/v_131861.htm
32. FURootkit, http://vil.nai.com/vil/content/v_127131.htm
33. FURootkit description,
10. Apropos, http://vil.nai.com/vil/content/v_137345.htm
http://rootkit.com/project.php?id=12
11. Qoolaid, http://vil.nai.com/vil/content/v_126149.htm
34. SDBot, http://vil.nai.com/vil/content/v_100454.htm
12. DigitalNames, http://vil.nai.com/vil/content/v_135063.htm
35. Opanki.worm,
13. Greg Hoglund, « State of the Rootkit Address »,
http://rootkit.com/blog.php?newsid=336
http://vil.nai.com/vil/content/v_133397.htm
36. W32/Feebs, http://vil.nai.com/vil/content/v_137971.htm
McAfee, Inc. 3965 Freedom Circle, Santa Clara, CA 95054, USA, 888.847.8766, www.mcafee.com
McAfee et/ou les autres marques citées dans ce document sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc. et/ou de ses sociétés affiliées aux EtatsUnis et/ou dans d'autres pays. La couleur rouge McAfee utilisée pour identifier des fonctionnalités liées à la sécurité est propre aux produits de la marque McAfee. Toutes les autres
marques commerciales déposées ou non déposées citées dans ce document sont la propriété exclusive de leurs détenteurs respectifs. © 2006 McAfee, Inc. Tous droits réservés.
www.mcafee.com
6-cor-root-001-0406