Barracuda full logo

Malware 101 : piratage du système de fichiers : rootkits et bootkits

Thèmes:
7 déc. 2023
|
Jonathan Tanner

Si les solutions anti-malware pour terminaux peuvent être un outil efficace de détection et de neutralisation des malwares, elles n'en restent pas moins soumises aux règles et limitations qui s'appliquent à tous les logiciels fonctionnant sur un système. Si les malwares sont eux aussi soumis à ces règles et limitations, leurs créateurs n'aiment pas les respecter et le moyen le plus efficace de les contourner (hormis l'exploitation de bugs dans le logiciel) est de les réécrire. Il est encore plus efficace de s'installer au cœur du système, où résident les règles elles-mêmes.

Comment les malwares exploitent les rootkits et les bootkits

Les rootkits agissent au niveau de privilège le plus élevé sur un système (racine ou administrateur). Ce niveau d'accès peut permettre au malware de contrôler le système, y compris tout logiciel anti-malware qui s'y trouve, ainsi que les signaux sur lesquels les logiciels anti-malware se basent pour faciliter la détection des malwares. Il permet également à un rootkit efficace de supprimer les traces de l'infection en modifiant les alertes ou les journaux du système qui auraient pu indiquer sa présence. Grâce à ce niveau d'accès, un malware peut modifier tout fichier du système, y compris ceux qui composent le noyau du système d'exploitation. Les rootkits se logent aussi parfois dans le firmware, le logiciel intégré aux composants matériels leur permettant de fonctionner et de communiquer avec les systèmes auxquels ils sont rattachés.

Un type précis de rootkit est à la fois suffisamment courant et spécifique pour justifier sa propre classification : le bootkit. Les bootkits infectent le secteur d'amorçage, le code utilisé pour démarrer le système et charger le système d'exploitation, comme le master boot record (MBR). Ainsi, non seulement le code malveillant est exécuté avant le système d'exploitation, mais le bootkit est également indétectable par les processus standard du système d'exploitation. Évoqués dans un article précédent, les virus Elk Cloner et Michaelangelo étaient également des bootkits puisqu'ils se cachaient dans le secteur d'amorçage. Cependant, tous les bootkits ne sont pas des virus visant ce secteur. En effet, un virus se propage à d'autres fichiers, alors qu'un bootkit se loge simplement dans le secteur d'amorçage afin d'échapper à la détection et de compliquer les mesures correctives.

L'évolution de la sécurité pour lutter contre les rootkits et les bootkits

Les bootkits sont moins répandus depuis quelques années, car les nouvelles mesures de sécurité, telles que le démarrage sécurisé proposé par les nouvelles spécifications des BIOS comme le standard UEFI, ont rendu plus difficile l'infection du secteur d'amorçage. Ces mesures de protection imposent la signature du code pour toute mise à jour du secteur d'amorçage. Cependant, cette fonctionnalité de sécurité peut être désactivée dans les paramètres du BIOS, et n'est donc pas toujours efficace sur tous les systèmes. Certaines solutions de protection des terminaux et certains anti-malwares se sont également adaptés au fil des ans aux rootkits et aux bootkits afin de mieux protéger les utilisateurs. L'utilisation de données heuristiques, l'analyse d'images mémoire et, dans certains cas, la conversion du logiciel de protection en un rootkit afin de permettre une meilleure protection contre ces malwares ont permis d'améliorer la capacité à détecter les rootkits.

Les rootkits peuvent bien sûr simplement désactiver le logiciel de protection s'ils sont programmés pour cela. Dans certains cas, il est donc plus efficace de rechercher les rootkits à l'aide d'un outil externe ou d'un système d'exploitation démarré en direct, c'est-à-dire à partir d'un support externe tel qu'un CD-ROM ou une clé USB sans lancer le système d'exploitation installé. Cela permet d'analyser le disque sans interférence de sa part.

Les créateurs de malwares ne sont pas tous capables d'écrire un rootkit efficace, car il leur faut une grande connaissance du fonctionnement du système pour dissimuler efficacement et modifier les signaux générés par ce dernier. Cependant, les personnes disposant de ce niveau de connaissances et de compétences peuvent obtenir des résultats très efficaces. Les rootkits de firmware peuvent non seulement être particulièrement difficiles à détecter, mais aussi à corriger. Dans certains cas, il faut remplacer l'intégralité du composant matériel pour y remédier. Dans d'autres cas et avec les rootkits de noyau, il est souvent nécessaire de réinstaller le logiciel système dans son ensemble à partir de zéro.

Comment les attaques réussies sont adaptées et réutilisées

Si les malwares sont généralement plus efficaces lorsqu'ils sont créés de A à Z afin de ne pas inclure de fragments de code susceptibles d'être détectés par l'analyse des signatures, les auteurs de malwares complexes tels que les rootkits recourent souvent à des échantillons de malwares répandus et efficaces pour créer leurs propres logiciels. Le ver Stuxnet, qui était également un rootkit, n'était pas seulement l'un des rootkits les plus célèbres de l’histoire ; de par son niveau de sophistication, il a été largement réutilisé dans le développement d'autres malwares, tels que Duqu et Flame. Les exploits zero-day qu'il a utilisés et mis en circulation ont été encore plus largement repris.

Étant donné que les malwares ne sont soumis à aucune restriction en matière de droits d'auteur et que leurs créateurs ne les respecteraient pas si elles existaient, les malwares sont fréquemment transformés en de nouvelles variantes ou leurs composants sont réutilisés. Le code source d'une variante particulière est même parfois divulgué ou diffusé, ce qui entraîne l'apparition de nouvelles variantes basées sur ce code.

L'évasion est une catégorie de malware particulièrement intéressante pour les auteurs de ces logiciels. En utilisant des techniques d'évasion, il est plus facile d'échapper aux logiciels de sécurité, ce qui augmente les chances de réussite du malware. Même les objectifs les mieux élaborés ne sont d'aucune utilité si le malware est bloqué avant de pouvoir les atteindre. Alors que de nombreuses campagnes s'appuient sur le volume plutôt que sur la sophistication pour atteindre ces objectifs, les pirates plus aguerris ayant des objectifs plus spécifiques, tels que les menaces persistantes avancées (APT), consacrent souvent du temps et de l'énergie à échapper à la détection. C'est particulièrement vrai lorsque le malware ne cible qu'un petit nombre d'entités, voire une seule.

Vous pouvez lire le reste de la série Malwares 101 ici

 

Jonathan Tanner

Jonathan est chercheur senior en sécurité chez Barracuda Networks. Connectez-vous avec lui sur LinkedIn.

Billets associés :
Malware 101 : Détection et remédiation
Malware 101 : Détection et remédiation
 Malwares 101 : prévention
Malwares 101 : prévention
 Malware 101 : Piratage du système de fichiers : mémoire seule et registre
Malware 101 : Piratage du système de fichiers : mémoire seule et registre
Malware 101 : l’emploi de bombes logiques pour échapper à la détection
Malware 101 : l’emploi de bombes logiques pour échapper à la détection
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.