Rootkits – Volet 1/3 : Une menace grandissante
Transcription
Rootkits – Volet 1/3 : Une menace grandissante
Livre blanc | Avril 2006 Rootkits – Volet 1/3 : Une menace grandissante www.mcafee.com Livre blanc | 2006 Página 2 Table des matières Principales conclusions 3 Résumé 3 Programmes malveillants furtifs (ou rootkits) : perspective historique 3 Rootkits et programmes malveillants : la controverse 4 Tendances technologiques des rootkits 5 Références bibliographiques 8 www.mcafee.com Livre blanc | 2006 Principales conclusions 1. En l'espace de trois années seulement, l'utilisation de techniques de furtivité dans les programmes malveillants (malwares) a progressé de plus de 600 pour cent. Página 3 Programmes malveillants furtifs (ou rootkits) : perspective historique Au départ, un rootkit n'était qu'un simple regroupement d'outils fournissant un accès de niveau administrateur — appelé en terminologie Unix un accès racine (« root » en anglais) — à un 2. De 2000 à 2005, la complexité des rootkits a augmenté de plus de 400 pour cent. Entre le 1er trimestre 2005 et le 1er trimestre ordinateur ou à un réseau. Ce terme faisait ainsi référence à un ensemble d'outils Unix recompilés, parmi lesquels ps, netstat, ls et 2006, cette tendance s'est chiffrée à plus de 900 pour cent. passwd. Un auteur d'attaques pouvait avoir recours à ces mêmes 3. En 2001, la part de tous les composants furtifs dans les logiciels outils pour masquer toute trace d'intrusion, d'où l'association du malveillants visant spécifiquement Linux culminait à 71 pour terme « rootkit » au caractère furtif. Et lorsque la tactique d'attaque cent, pour décroître jusqu'à un nombre négligeable en 2005. furtive a été exploitée dans l'environnement Windows, cette même En revanche, le nombre de tels composants prenant pour cible appellation était déjà toute désignée pour la qualifier. Aujourd'hui, ® Windows a littéralement explosé, avec une augmentation de rootkit (littéralement, « kit racine ») est un mot couramment 2 300 pour cent au cours de la même période. employé pour décrire les programmes malveillants (malware), tels 4. Le phénomène du code source libre, de même que les sites de que les chevaux de Troie, les vers et les virus, qui dissimulent activement leur existence et leurs actions pour passer inaperçus collaboration en ligne et les blogs sont les principaux responsables de la prolifération et de la complexité accrues des auprès des utilisateurs et des autres processus système. composants de rootkit. La dissimulation d'un programme malveillant pour le soustraire à l'attention des utilisateurs et des logiciels de sécurité est une 5. Les auteurs de programmes malveillants voient dans la plate1 forme Windows une cible irrésistible, non seulement en raison pratique qui remonte au tout premier virus informatique, Brain , dont la mise en circulation initiale date de 1986. Brain échappait de sa diffusion massive mais aussi parce qu'avec ses nombreuses interfaces de programmation d'applications (API) aux détections en interceptant les interrogations au niveau du secteur d'amorçage des ordinateurs et en redirigeant les non documentées, s'y attaquer représente un véritable défi opérations de lecture vers un autre emplacement sur le disque. technique. 2 Quand, en 1987, le virus Lehigh fut maîtrisé très peu de temps 6. Les programmes qui ont recours à des techniques de furtivité après sa diffusion, justement parce qu'il ne faisait pas mystère de ne sont pas nécessairement des rootkits à proprement parler, sa présence, les créateurs de virus ont bien vite pris conscience du mais ils favorisent la propagation de logiciels malveillants, qui fait que la furtivité d'un virus était déterminante pour sa longévité. sans eux auraient une progression plus limitée. A la fin des années 1980 et au début des années 1990, les auteurs de programmes malveillants ont continué à développer des virus DOS Résumé toujours plus complexes, élaborant des techniques de furtivité Les rootkits constituent pour les systèmes informatiques modernes innovantes pour empêcher leur détection. Parmi les nombreuses une menace aussi insaisissable qu'omniprésente. Ils exploitent des méthodes élaborées, citons deux des plus courantes. La première techniques de furtivité de plus en plus sophistiquées, à tel point est l'interception d'interruptions d'entrées-sorties disque dans le que la lutte contre les rootkits et leurs dommages représentent une BIOS pour des appels en lecture (INT 13) et leur remplacement par véritable gageure. Ce livre blanc établit une distinction entre, d'une des résultats modifiés. La seconde est la désinfection en continu part, les techniques de furtivité qui sont simplement des stratégies d'un secteur de disque dès qu'un programme, et notamment un de dissimulation de fichiers, de processus et d'activités et, d'autre analyseur antivirus, est démarré, pour ensuite réinfecter ce secteur part, les rootkits à proprement parler, terme désormais associé aux au terme de l'exécution du programme en question. Le virus du 3 logiciels malveillants qui camouflent leurs activités. Il propose en secteur d'amorçage Tequila , lancé en 1991, et le virus infecteur de 4 outre un historique des techniques de furtivité et des techniques fichiers 1689 Stealth , introduit en 1993, faisaient appel à ces mises en œuvre par les rootkits, afin que vous puissiez mieux techniques pour que leurs tailles de fichier accrues ne puissent pas comprendre l'évolution de ces menaces. Il analyse également les être repérées, symptôme qui constitue communément un indice technologies et les motivations qui sous-tendent la prolifération évident d'infection. Des virus DOS ayant vu le jour par la suite des rootkits, étudie les dernières tendances et envisage les interceptaient des fonctions de niveau supérieur, comme les perspectives d'avenir de cette forme relativement nouvelle de appels de pilote DOS, pour dissimuler leur présence ou pérenniser programme malveillant. l'infection. www.mcafee.com Livre blanc | 2006 page 4 L'émergence de Windows au milieu des années 1990 s'est accompagnée d'une immunité aux virus DOS et d'une brève accalmie dans les innovations en matière de furtivité. Avant de pouvoir mettre au point des subterfuges pour contourner les défenses de la plate-forme, les auteurs de virus ont dû apprendre à utiliser les API de Windows et son architecture mémoire protégée. Fin 2001, la trêve a pris fin avec l'arrivée des chevaux de Troie 5 6 NTRootkit et — plus tard, en 2003 — HackerDefender . Tous deux interceptaient des appels de fonctions de très bas niveau propres au système d'exploitation, de façon à masquer leur présence. ailleurs dérober des informations confidentielles, bloquer des ressources système, détruire des données ou accomplir d'autres actions malveillantes. Les chevaux de Troie sont quant à eux des programmes qui semblent être des applications logicielles bénignes, voire utiles, mais qui renferment du code malveillant. Ils ne se répliquent pas automatiquement, mais ils peuvent amener un ordinateur infecté à télécharger d'autres programmes malveillants qui ont bel et bien recours à la réplication automatique. Les vers sont constitués de code malveillant ; ils se répliquent en diffusant des copies d'eux-mêmes par l'intermédiaire d'un réseau partagé, de disquettes ou encore de L'évolution des technologies de furtivité est allée de pair avec celle lecteurs USB, souvent de façon autonome sans intervention de la de l'environnement informatique. Des conventions de part de l'utilisateur. Bien que semblables aux chevaux de Troie et à dénomination fallacieuses et des techniques de manipulation d'autres programmes malveillants en cela qu'ils dérobent souvent réseau ou autres ont été élaborées pour dissimuler les programmes des informations confidentielles et privées, les programmes malveillants au nez et à la barbe de tous. L'une des approches les potentiellement indésirables (PUP) n'appartiennent pas à cette plus simples et pourtant les plus efficaces consiste à renommer un catégorie parce que leur installation et leur exécution nécessitent fichier infecté pour qu'il passe pour un fichier utilisateur ou l'approbation tacite de l'utilisateur. système légitime. Illustrons notre propos par un exemple. Le Il convient cependant de préciser que les technologies de furtivité cheval de Troie scvhost.exe ou svehost.exe peut se trouver dans le ne sont pas l'apanage des programmes malveillants. Les PUP et les répertoire system32 de Windows en même temps que le fichier applications logicielles commerciales y recourent de plus en plus d'origine nommé svchost.exe. De plus, un cheval de Troie pour empêcher qu'on ne les supprime. En avril 2005, Adwareégalement nommé svchost.exe peut s'exécuter à partir des 9 répertoires Windows ou WINNT. L'utilisateur ne considère pas les Isearch a été l'un des premiers logiciels publicitaires découverts utilisant ce type de technologie. Depuis lors, plusieurs autres ont fichiers du cheval de Troie comme suspects. Il est dupé dans le 10 11 12 été mis au jour, notamment Apropos , Qoolaid et DigitalNames , premier cas par l'étroite ressemblance entre les noms des fichiers factices et le nom légitime ; dans le second cas, par son ignorance tous trois ayant été réaffectés à la catégorie des chevaux de Troie en de l'emplacement correct du fichier d'origine, à savoir le répertoire raison de l'ampleur de la menace qu'ils représentaient pour system32 de Windows. l'utilisateur. L'avènement d'Internet a offert de nouvelles opportunités et de nouveaux outils tant aux auteurs d'attaques qu'aux responsables de la sécurité. Les créateurs de programmes malveillants y ont trouvé de nouveaux vecteurs de propagation et des légions de victimes potentielles. Pour les responsables de la défense des systèmes, Internet apportait de nouveaux moyens de détection réseau en temps réel, autorisant via des solutions de prévention des intrusions (IPS) et d'autres équipements de surveillance du trafic un contrôle permanent de l'activité malveillante. De nos jours, pour être efficace, une technologie de furtivité doit masquer ou protéger les fichiers, les processus et les entrées de Registre qu'elle met en œuvre. Plus que jamais, les programmes malveillants doivent brouiller soigneusement les pistes en manipulant des paquets bruts sur le réseau, la pile TCP/IP, le 7 23 protocole TCP/IP ainsi que le BIOS pour éluder certaines des technologies de sécurité les plus évoluées. Rootkits et programmes malveillants : la controverse Les programmes malveillants revêtent de nombreuses formes. Des différences marquées distinguent cependant les virus, les chevaux de Troie, les vers et les programmes potentiellement indésirables (en anglais PUP, pour potentially unwanted programs). A l'instar de leurs homonymes biologiques, les virus informatiques sont des programmes qui se répliquent automatiquement. Ils peuvent par Il est tentant de classer au rang de « rootkit » tous les logiciels qui emploient des techniques de furtivité, mais on court le risque ce faisant de diluer le sens et d'affaiblir l'impact de ce terme et de sa ® définition. McAfee et d'autres ont adopté le point de vue suivant lequel les logiciels commerciaux recourant à des techniques de furtivité appartiennent à la classe des PUP et non à celle des rootkits. Toutefois, d'autres acteurs du secteur de la sécurité estiment que la furtivité elle-même n'est jamais justifiée et que tout recours à ce type de technique mérite donc de se voir associer l'appellation « rootkit », avec les connotations négatives qu'elle 13,14,15 . Cette querelle d'experts relativement obscure s'est implique transformée en une controverse qui a défrayé la chronique lorsque, 28 le 31 octobre 2005, Mark Russinovich publia dans son blog les résultats de certaines de ses recherches. Le logiciel de gestion des droits numériques de Sony BMG, Extended Copy Protection (XCP), fut mis sur la sellette parce qu'il recourait à des technologies de furtivité et rendait les ordinateurs sur lesquels il était installé vulnérables aux attaques. A la fin de 2005, les laboratoires McAfee ™ AVERT ont d'ailleurs classé cette application commerciale comme PUP en raison de son possible détournement à des fins malveillantes. XCP comprend une mise en œuvre de pilote de périphérique avec privilèges au niveau du noyau. Le pilote masque des processus et des fichiers de gestion des droits numériques de telle sorte que l'utilisateur ne puisse pas les désactiver et réaliser des copies illégales de fichiers musicaux. Cette protection résulte de l'écriture www.mcafee.com Livre blanc | 2006 page 5 de code en mode noyau qui dissimule tout fichier, dossier ou Tendances technologiques des rootkits processus débutant par la chaîne « $sys$ ». Malheureusement, tout Cette section aborde les raisons qui expliquent l'adoption et la programme malveillant dont le nom comporterait cette même chaîne échapperait aussi à la vigilance de la plupart des analyseurs diversité grandissantes des rootkits, les motivations de leurs auteurs et les tendances technologiques qui marqueront l'avenir antivirus. des rootkits. Comme l'on pouvait s'y attendre, les auteurs de code malveillant ont saisi la balle au bond et écrivent désormais des programmes 1re tendance : le concept des rootkits s'élargit pour utilisant le logiciel installé par Sony pour masquer leurs fichiers ; englober, au-delà des chevaux de Troie, d'autres 17 c'est le cas par exemple des variantes du ver W32/Brepibot qui, formes de programmes malveillants et de PUP apparu en novembre 2005, s'est propagé via des canaux IRC (Internet Relay Chat) en exploitant cette faille. Au cours des trois dernières années, le taux d'incidence des technologies de furtivité dans les programmes malveillants, les Le cas de cette application commerciale remet en cause PUP et les applications commerciales a plus que sextuplé. Comme l'opportunité de baptiser « rootkits » tous les programmes, sans l'illustre le graphique 1, en 2005, ces technologies n'étaient plus distinction, faisant appel à des technologies de furtivité. Si le l'exclusivité des chevaux de Troie, mais elles se rencontraient recours à la furtivité devient une pratique courante, il sera peutégalement dans d'autres formes de logiciels malveillants, ainsi que être plus approprié de réserver le terme « rootkit » exclusivement dans les PUP et les applications commerciales. aux programmes malveillants qui emploient de telles techniques. McAfee et d'autres sociétés ont adopté ce point de vue, classant 18 XCP simplement dans la catégorie des PUP et non des rootkits . La controverse au sujet des techniques de furtivité est toujours d'actualité. Le 10 janvier 2006, moins de deux mois après le tollé provoqué par XCP, la communauté antivirus a été secouée jusque dans ses fondements par une révélation extraordinaire : Symantec a intégré des techniques de furtivité dans l'un de ses produits afin 19 de masquer un répertoire nommé NProtect . S'il représente un risque potentiel moindre pour la sécurité que XCP, NProtect ne masque pas moins divers fichiers dans un répertoire invisible aux analyses antivirus. Les auteurs de programmes malveillants pourraient donc, en théorie, protéger leurs fichiers en les plaçant dans le répertoire NProtect. Symantec se justifie en prétendant que l'emploi de techniques de furtivité constitue un mécanisme important pour lutter contre le code malveillant. Mais de nombreux acteurs du secteur s'indignent : ils trouvent inadmissible d'adopter et de légitimer les technologies mêmes qu'exploitent et diffusent leurs adversaires dans la lutte pour la sécurité informatique. La révélation selon laquelle le moteur de Kaspersky Anti-Virus 24 (KAV) employait la technologie iStreams a ravivé le débat concernant l'utilisation de techniques de furtivité dans les logiciels commerciaux. iStreams améliore les performances de l'analyseur KAV en stockant le total de contrôle de fichiers déjà analysés dans des flux de données alternatifs (ADS, Alternate Data Stream) NTFS. Kaspersky prétendait que masquer les flux NTFS ne représentait aucune menace, dans la mesure où ceux-ci constituent des données internes du programme et se reconstituent donc par eux20 mêmes s'ils sont écrasés par des données ou du code nuisible . Bien que cette technique de masquage de données n'engendre aucun risque majeur pour la sécurité, elle a fait couler beaucoup d'encre et s'est attirée de nombreuses critiques. Source : Laboratoires McAfee AVERT Graphique 1 : prévalence croissante des techniques de furtivité dans les logiciels L'engouement soudain pour les technologies de furtivité peut être attribué à l'essor de la collaboration en ligne dans le domaine. Des sites web tels que www.rootkit.com contiennent des centaines de lignes de code de rootkit. Tout ce code ainsi que des exécutables binaires peuvent être intégrés sans peine dans des logiciels malveillants. Plusieurs rootkits en circulation sont directement empruntés des technologies de furtivité disponibles sur ces sites web ou en constituent des évolutions. Citons à titre d'exemple AFXrootkit, NTRootkit, FURootkit, He4Hook et PWS-Progent. Pire encore, certains articles de blog présents sur de tels sites vont jusqu'à apprendre aux aspirants pirates à contourner les mécanismes de détection des analyses antivirus, en compilant euxmêmes du code source. On peut y lire des commentaires du genre : « Et si nous faisions preuve d'un peu de créativité ? Vous savez www.mcafee.com Livre blanc | 2006 compiler du code source, n'est-ce pas ? A mon humble avis, les antivirus rechercheront ce fichier en particulier et une simple modification par-ci par-là devrait lui permettre d'échapper à ce 13 bon vieil analyseur. Du moins pendant un certain temps ». 2e tendance : les rootkits deviennent de plus en plus complexes La collaboration par Internet ne se contente pas de diffuser les technologies de furtivité. Elle favorise en outre le développement de nouvelles techniques plus complexes. Cette complexité peut notamment se mesurer au nombre de fichiers de composants que comprend un package logiciel. Ainsi, on peut imaginer un rootkit (appelons-le a.exe) qui installe les fichiers b.exe, c.dll et d.sys, où d.sys installe le composant furtif du rootkit, le nombre total de composants étant égal à quatre. De plus, il est supposé que d.sys dissimule ou protège d'autres fichiers du package. Le graphique 2 illustre combien les rootkits ont gagné en sophistication au cours de ces six dernières années. La complexité des rootkits connus a augmenté de presque 200 pour cent en 2005. Comparativement, seulement 60 composants furtifs ont été envoyés à McAfee AVERT au cours du premier trimestre 2005. Au cours de la même période en 2006, ce nombre est monté en flèche pour atteindre 612 composants, soit une hausse de plus de 900 pour cent. Si le nombre d'échantillons envoyés a augmenté également, la vaste majorité de cette progression résulte de la nature de plus en plus hétérogène des technologies employées par les rootkits. page 6 d'exploitation mais aussi de ses nombreuses API non documentées et du défi techniques que celles-ci représentent. Le graphique 3 illustre la croissance de rootkits « purs » sous F1 Windows et la tendance qui consiste à les incorporer dans des programmes malveillants appartenant à d'autres catégories. Initialement observé en 2001, NTRootkit et ses variantes étaient en circulation jusqu'en 2005. Les rootkits HackerDefender, AFXRootkit et PWS-Progent ont fait leur première apparition en 2003. HackerDefender a progressé de façon considérable au cours de ces dernières années, alors que des variantes d'AFXRootkit et de PWSProgent ont été détectées très récemment, à la fin de 2005. Des rootkits relativement évolués, comme FURootkit, comptent parmi les plus répandus à ce jour. Ces derniers mois, des technologies de furtivité intégrées dans diverses formes de programmes malveillants, tels que Backdoor-CEB, AdClicker-BA, W32/Feebs, Backdoor-CTV, Qoolaid, PWS-LDPinch, Opanki.worm et W32/Sdbot.worm, ont également été découvertes. Graphique 3 : augmentation du nombre de composants présents dans les rootkits 4e tendance : des vecteurs d'attaque par rootkit se retrouvent dans des logiciels illégitimes mais aussi légitimes Source : Laboratoires McAfee AVERT Graphique 2 : répartition des techniques de furtivité par famille de logiciels 3e tendance : les rootkits incorporés dans Windows deviennent prédominants D'après les observations, la majeure partie du code de rootkit développé récemment vise la plate-forme Windows. Après avoir atteint un point culminant à 70 pour cent en 2001, le développement de code furtif visant Linux est désormais négligeable. Si les rootkits ciblant Linux perdureront très certainement, ceux qui s'attaquent à Windows dominent clairement la scène et continueront à le faire dans un avenir proche, essentiellement en raison de la popularité de ce système La polyvalence des technologies de furtivité a favorisé leur intégration massive à pratiquement tous les vecteurs d'attaque de logiciels malveillants connus. Par ailleurs, leur popularité a même convaincu les éditeurs de logiciels commerciaux de les introduire dans leurs produits. Comme le montre la figure 1, les vecteurs d'injection de technologies de furtivité couvrent désormais tout le spectre des méthodes de distribution des logiciels : des exploits ne nécessitant aucune interaction avec l'utilisateur jusqu'aux applications fiables et installées par l'utilisateur. Quelques exemples de rootkits bien connus et de leurs vecteurs d'attaque illustrent combien leur champ d'action est vaste. Backdoor-BAC a été distribué par des messages de spam, des téléchargeurs de 22 6 cheval de Troie et des exploits directs . HackerDefender est généralement diffusé via du spam, des robots, des exploits directs et des applications peer-to-peer de partage de fichiers. Certains F1 Les rootkits dits « purs » sont des rootkits preuves de concept, tels que Ntrootkit ou FURootkit, qui mettent en œuvre des techniques de rootkit innovantes. www.mcafee.com Livre blanc | 2006 rootkits observés sont téléchargés par l'intermédiaire de vers de mass-mailing dans le but de créer des attaques combinées 16 complexes. Citons à ce propos l'exemple de Backdoor-CEB , qui 29 30 était téléchargé par W32/MyDoom.bb , W32/MyDoom.bc et 31 32,33 W32/MyDoom.d . FURootkit semble être le favori de robots tels 34 35 que SDbot et Opanki en raison de sa structure hautement 36 complexe et de son déploiement aisé. Quant à W32/Feebs , il figurait parmi les premiers rootkits à se propager par pièce jointe à un e-mail ainsi que par des réseaux peer-to-peer. Des applications groupées distribuant des logiciels publicitaires constituent une autre source de prédilection des technologies de furtivité. Elles se présentent généralement sous la forme de PUP. Un échantillon de ce type envoyé à McAfee et nommé build2.exe a 9 été détecté sous le nom de Adware-Isearch . Composé notamment d'un utilitaire de recherche sur poste de travail et d'un plug-in Firefox, il créait des icônes assurant la promotion du programme antispyware spywareavenger (www.spywareavenger.com) et de l'antivirus VirusHunter (www.virushunter.com). Toutefois, cette offre groupée contenait également un programme publicitaire, aBetterIntrnt, qui téléchargeait un utilitaire. Ce dernier installait à son tour plusieurs autres programmes publicitaires sur l'ordinateur. Enfin, Adware-Isearch déposait un rootkit en mode noyau pour protéger tous les fichiers nouvellement installés afin qu'ils ne puissent pas être supprimés, que ce soit par l'utilisateur, 21 un analyseur antivirus ou un analyseur antispyware . page 7 5e tendance : l'intégration des technologies de furtivité devient toujours plus aisée Du code de rootkit et des kits de création de code furtif sont disponibles, de sorte que les auteurs de programmes malveillants peuvent facilement masquer des processus, des fichiers et des entrées de Registre, même s'ils n'ont pas une connaissance approfondie du système d'exploitation qu'ils visent. La figure 2 illustre la simplicité d'une telle opération : l'interface utilisateur du kit de création de code furtif Nuclear Rootkit nécessite uniquement l'entrée d'un nom de fichier ou de répertoire et un simple clic pour recourir à diverses techniques de furtivité et créer ensuite du code binaire personnalisé qui masque le fichier ou le répertoire en question, de même que les ports, les processus et les entrées de Registre concernés. Plus récemment, des technologies de furtivité se sont propagées via des vecteurs de logiciels commerciaux, c'est-à-dire des programmes considérés comme fiables, comme cela fut le cas avec 18 XCP . La majorité des utilisateurs qui souhaitaient écouter des CD musicaux Sony protégés ont autorisé l'installation de XCP, Figure 2 : interface utilisateur simpliste de Nuclear l'estimant fiable, installant en même temps à leur insu ces Rootkit technologies de furtivité qui exposaient leurs ordinateurs à de Bien que le kit dont l'interface est illustrée ci-dessus soit disponible graves risques de sécurité. gratuitement pour téléchargement, d'autres kits plus complexes et personnalisés sont commercialisés librement à des prix allant de 200 à 2 000 dollars, comme A-311 Death et l'édition Gold de HackerDefender. Les implications d'une telle facilité d'accès sont mises en lumière par le succès retentissant des attaques par phishing liées à Backdoor-BAC (alias Haxdoor et A-311 Death). Ce cheval de Troie a pu collecter des milliers de numéros d'identification personnels bancaires, de mots de passe et d'autres informations confidentielles, qui étaient ensuite transmis à son 22 auteur . L'appât du gain et les frais de démarrage relativement faibles ont incité les pirates et les auteurs de programmes malveillants à écrire de nouveaux rootkits éludant les mécanismes de détection des analyseurs antivirus et d'autres produits de sécurité. Pour les acteurs du secteur de la sécurité informatique, le fait que ces délinquants recourent à la collaboration en ligne constitue un problème de taille à mesure qu'il devient de plus en plus difficile de conjurer, de détecter et de supprimer leurs programmes malveillants toujours plus complexes. Figure 1 : diversité des vecteurs d'attaque — canaux de propagation des rootkits www.mcafee.com Livre blanc | 2006 L'avenir des rootkits En 2004, McAfee a enregistré approximativement 15 000 chevaux de Troie, dont seulement 0,87 pour cent étaient des rootkits pour Windows. L'année suivante, McAfee en a dénombré environ 30 000, mais cette fois la proportion de rootkits était nettement plus élevée : presque deux pour cent, ce qui correspond à un taux de croissance nominal de près de 400 pour cent. Sur la totalité des programmes malveillants et des PUP, McAfee signale une hausse de plus de 900 pour cent du nombre de composants de rootkit qui lui ont été communiqués au premier trimestre de 2006 par rapport au même trimestre de l'année précédente. page 8 14. When’s a Rootkit Not a Rootkit? In Search of Definitions, http://www.eweek.com/article2/0,1895,1913083,00.asp 15. Some Rootkits Are Worse Than Others, http://www.eweek.com/article2/0,1895,1910240,00.asp 16. Backdoor-CEB, http://vil.nai.com/vil/content/v_131340.htm 17. W32/Brepibot, http://vil.nai.com/vil/content/v_133091.htm 18. XCP, http://vil.nai.com/vil/content/v_136855.htm 19. « Symantec Caught in Norton 'Rootkit' Flap » Bien qu'une nouvelle version de Windows (Vista) soit attendue tout prochainement, tant que celle-ci n'aura pas été largement adoptée, il ne faut pas espérer qu'elle s'accompagnera d'un déclin de l'activité liée aux programmes malveillants (suivant un phénomène comparable à la trêve constatée lors de la sortie de Windows 95). Par conséquent, la facilité de déploiement des rootkits et leur succès grandissant auprès des auteurs de programmes malveillants nous laissent présager qu'au cours des deux ou trois années à venir, la croissance des rootkits ciblant l'architecture Windows actuelle atteindra un taux annuel d'au moins 650 pour cent et que de nouvelles techniques plus sophistiquées et pernicieuses verront probablement le jour. Notre prochain livre blanc, « Rootkits — Volet 2/3 : Introduction technique », analyse dans le détail l'évolution des techniques de furtivité et se penche sur l'avenir des technologies intégrées dans les rootkits. Le troisième livre blanc, qui clôt cette série, étudie les stratégies de sécurité pratiques à mettre en œuvre pour combattre ces rootkits, dès aujourd'hui et à l'avenir. Références bibliographiques 1. Brain, http://vil.nai.com/vil/content/v_221.htm http://www.eweek.com/article2/0,1895,1910077,00.asp 20. « No Rootkit in Kaspersky Anti-Virus », http://www.viruslist.com/en/weblog?weblogid=177727537 21. Re: Sunbelt Software Distribution Inc. (« SunBelt »); Classification of iDownload.com’s isearch Toolbar Product, http://www.sunbelt-software.com/blog/sunbelt_idownload.pdf 22. Backdoor-BAC.gen, http://vil.nai.com/vil/content/v_138676.htm 23. Implementing and Detecting an ACPI BIOS Rootkit, John Heasman 24. « Symantec, Kaspersky Criticized for Cloaking Software », http://www.pcworld.com/news/article/0,aid,124365,00.asp 25. Adclicker-BA, http://vil.mcafeesecurity.com/vil/content/v_128301.htm 26. AFXrootkit, http://vil.nai.com/vil/content/v_102335.htm 27. Adware-Elitebar, http://vil.nai.com/vil/content/v_133782.htm 28. Mark’s Sysinternals Blog: Rootkits in Commercial Software, 2. Lehigh, http://vil.nai.com/vil/content/v_705.htm http://www.sysinternals.com/blog/2006/01/rootkits-in- 3. Tequila, http://vil.nai.com/vil/content/v_98230.htm commercial-software.html 4. 1689 Stealth, http://vil.nai.com/vil/content/v_98083.htm 29. W32/MyDoom.bb, 5. NTRootkit, http://vil.nai.com/vil/content/v_99877.htm 6. HackerDefender, http://vil.nai.com/vil/content/v_100035.htm http://vil.nai.com/vil/content/v_131856.htm 30. W32/MyDoom.bc, 7. Greg Hoglund, James Butler, « Subverting the Windows Kernel: Rootkits » http://vil.nai.com/vil/content/v_131860.htm 31. W32/MyDoom.bd, 8. Adware-SaveNow, http://vil.mcafeesecurity.com/vil/content/v_100836.htm 9. Adware-Isearch, http://vil.nai.com/vil/content/v_133320.htm http://vil.nai.com/vil/content/v_131861.htm 32. FURootkit, http://vil.nai.com/vil/content/v_127131.htm 33. FURootkit description, 10. Apropos, http://vil.nai.com/vil/content/v_137345.htm http://rootkit.com/project.php?id=12 11. Qoolaid, http://vil.nai.com/vil/content/v_126149.htm 34. SDBot, http://vil.nai.com/vil/content/v_100454.htm 12. DigitalNames, http://vil.nai.com/vil/content/v_135063.htm 35. Opanki.worm, 13. Greg Hoglund, « State of the Rootkit Address », http://rootkit.com/blog.php?newsid=336 http://vil.nai.com/vil/content/v_133397.htm 36. W32/Feebs, http://vil.nai.com/vil/content/v_137971.htm McAfee, Inc. 3965 Freedom Circle, Santa Clara, CA 95054, USA, 888.847.8766, www.mcafee.com McAfee et/ou les autres marques citées dans ce document sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc. et/ou de ses sociétés affiliées aux EtatsUnis et/ou dans d'autres pays. La couleur rouge McAfee utilisée pour identifier des fonctionnalités liées à la sécurité est propre aux produits de la marque McAfee. Toutes les autres marques commerciales déposées ou non déposées citées dans ce document sont la propriété exclusive de leurs détenteurs respectifs. © 2006 McAfee, Inc. Tous droits réservés. www.mcafee.com 6-cor-root-001-0406