IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Le rootkit TDL parvient a pénétrer les systèmes Windows 64-bit

  1. #1
    Expert éminent sénior
    Avatar de Katleen Erna
    Profil pro
    Inscrit en
    Juillet 2009
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Juillet 2009
    Messages : 1 547
    Points : 76 188
    Points
    76 188
    Par défaut Le rootkit TDL parvient a pénétrer les systèmes Windows 64-bit
    Le rootkit TDL parvient a pénétrer les systèmes Windows 64-bit, les experts évoquent le kit "le plus sophistiqué" du moment

    Le rootkit TDL, ou Alureon, s'en prends depuis plusieurs années aux versions 32-bit de Windows.

    Or, depuis peu, l'outil semble avoir été modifié pour pouvoir se frotter aux versions 64-bit de l'OS.

    Windows 7 64-bit a ainsi été exploité, malgré ses fonctionnalités de sécurité avancées, et surtout améliorées par rapport aux précédentes versions du système.

    D'après le spécialiste en sécurité Prevx, la première attaque réussie se serait déroulée en août 2010. Pire, il s'agira du "plus virulent rootkit jamais vu".

    Il est utilisé comme backdoor et installe des keyloggers et d'autres malwares sur les machines contaminées, puis il les met à jour lorsque cela est nécessaire. Très discret, il est de plus quasiment indétectable par la majorité des anti-virus. Même les white hat hackers ont du mal à le repérer.

    Un rapport publié hier par GFI Software donne plus de détails quant à son mécanisme d'intrusion dans les versions 64-bit de Windows : le rootkit le plus récent (TDL4) s'infiltre dans le noyau de l'OS de Microsoft en faisant fi de son "kernel mode code signing policy" (qui permet uniquement aux drivers signés numériquement d'être installés). Suite à cela, le rootkit s'attache au master boot record d'un disque dur, pour ensuite modifier les options boots de la machine. Un sacré bazard.

    Sources : Prevx ; GFI Software ; Microsoft (analyse technique très complète en PDF)

  2. #2
    Membre expérimenté Avatar de 10_GOTO_10
    Profil pro
    Inscrit en
    Juillet 2004
    Messages
    886
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2004
    Messages : 886
    Points : 1 526
    Points
    1 526
    Par défaut
    J'ai pas tout compris dans le document Microsoft... Le plus important est la méthode de détection: Ouvrez un fenêtre de commande et tapez ceci:

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    C:\WINDOWS\system32>diskpart
    
    Microsoft DiskPart version 5.1.3565
    
    Copyright (c) 1999-2003 Microsoft Corporation.
    Sur l'ordinateur : PORTABLE
    
    DISKPART> lis dis
    
      Disque ###  Statut      Taille     Libre     Dyn  Gpt
      --------  ---------  -----------  --------   ---  ---
      Disque 0    Connecté      37 GB      0 B
    Si, à la place, ça affiche ça, c'est pas bon:

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    C:\WINDOWS\system32>diskpart
    
    Microsoft DiskPart version 5.1.3565
    
    Copyright (c) 1999-2003 Microsoft Corporation.
    Sur l'ordinateur : PORTABLE
    
    DISKPART> lis dis
    
    Il n'y a pas de disque fixe à afficher.
    ... Et je confirme qu'il est virulent, et détecté par aucun des anti-virus que j'ai essayé (AntiVIR, SUPERAntiSpyWare, RootKitRevelator, et l'antivirus Microsoft).

  3. #3
    Membre averti Avatar de tigzy
    Profil pro
    Inscrit en
    Mars 2010
    Messages
    285
    Détails du profil
    Informations personnelles :
    Âge : 37
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations forums :
    Inscription : Mars 2010
    Messages : 285
    Points : 365
    Points
    365
    Par défaut
    C'est la m****, car combofix et mbr.exe ne marchent pas sur les OS 64, donc pour désinfecter c'est impossible...
    Je sais pas si TDSSKiller peut désinfecter les OS 64
    Développeur de RogueKiller

  4. #4
    Membre habitué
    Profil pro
    Inscrit en
    Septembre 2008
    Messages
    70
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Septembre 2008
    Messages : 70
    Points : 133
    Points
    133
    Par défaut
    Après Stuxnet, un autre rootkit.. c'est inquiétant.

    De ce coté là, Linux n'est pas mieux protégé, que Windows.

    Windows cumule le handicap d'être installé sur une seule partition, où on peut lire écrire éxécuter.

    Linux : la cde remount permet de changer les options de montage des partitions.. un point faible.

    Les deux , ont un système de hotplug, porte d'entrée des rootkits, puis qu 'il faut pouvoir utiliser le dispositif de chargement des modules..

    Les chasseurs de rootkits, sont complètement dans les choux, y compris sur les BSD. les développeurs de rootkits ont bien intégré leur mode de détection.

    Je crois que l'ultime protection reste pour les BSD , les chflags et les securelevels, en partant d'un système propre à partir de CD officiels , et en verouillant au fur et à mesure de l'install et de la configuration.

    Avec les niveaux les plus élevés de secure level, le chargement des modules du kernel est verrouillé.

    Le secure level fonctionne comme un système à cliquet, même en admin on ne peut plus l'abaisser et donc plus rien déverouiller.

    Pour déverrouiller il faut être devant la bécane et taper une cde au boot.. pour abaisser le secure level, pour pouvoir enlever les verrouillages et faire une modif.

    Pas très pratique pour le multimédia, ou pour tester plein d'applis, ni pour les mises à jour, si elles sont trop fréquentes.

    Mais ça semble être la seule parade efficace contre les rootkits, pour le moment..

    On ne sait plus les détecter, il faut les empêcher de s'installer, et de modifier les binaires, pour qu 'ils soient indétectables.

  5. #5
    Membre averti Avatar de tigzy
    Profil pro
    Inscrit en
    Mars 2010
    Messages
    285
    Détails du profil
    Informations personnelles :
    Âge : 37
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations forums :
    Inscription : Mars 2010
    Messages : 285
    Points : 365
    Points
    365
    Par défaut
    @Jacqueline:

    tu parles des rootkits MBR?
    Parce les rootkit Kernel / Userland sont tout à fait detectables en bypassant les API win32 et WinNT
    Développeur de RogueKiller

  6. #6
    Membre habitué
    Profil pro
    Inscrit en
    Septembre 2008
    Messages
    70
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Septembre 2008
    Messages : 70
    Points : 133
    Points
    133
    Par défaut
    Citation Envoyé par tigzy Voir le message
    @Jacqueline:

    tu parles des rootkits MBR?
    Parce les rootkit Kernel / Userland sont tout à fait detectables en bypassant les API win32 et WinNT
    Non , pas spécialement.

    mais je ne connais pas windows.

    par contre je connais un peu les techniques utilisées par les rootkits du kernel, pour se rendre indétectables dans Linux et les BSD, en modifiant des utilitaires : soit ils se tuent, soit ils se zappent dans le listage des processus en cours, mais il y en a surement d'autres .

    Pour le MBR il est évident qu'il faut enlever la cde dd dans Linux..(écriture-lecture directe sur disque dans les secteurs, sans avoir à monter la partition ).

    ( en fait il n' y a pas que le premier secteur qui soit concerné : il y a toute la première piste pour planquer ses trucs sur disque sans que ça apparaisse dans les sytèmes de fichiers , plus une autre technique en déclarant des secteurs en défaut.

    Puis ils se recryptent diférement ( partie active ) à chaque tour, de façon sommaire, mais ça rend l'analyse de code impossible, et la recherche ..

    Je ne suis pas experte, mais voilà ce que je sais du sujet , et ça devient de plus en plus difficile de se protéger.

  7. #7
    Membre averti Avatar de tigzy
    Profil pro
    Inscrit en
    Mars 2010
    Messages
    285
    Détails du profil
    Informations personnelles :
    Âge : 37
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations forums :
    Inscription : Mars 2010
    Messages : 285
    Points : 365
    Points
    365
    Par défaut
    Pour l'instant les utilisateurs linux sont relativement épargnés par les rootkits.
    Développeur de RogueKiller

  8. #8
    Membre habitué
    Profil pro
    Inscrit en
    Septembre 2008
    Messages
    70
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Septembre 2008
    Messages : 70
    Points : 133
    Points
    133
    Par défaut
    Citation Envoyé par tigzy Voir le message
    Pour l'instant les utilisateurs linux sont relativement épargnés par les rootkits.
    T'inquiètes, ça ne va pas durer

  9. #9
    Membre averti Avatar de tigzy
    Profil pro
    Inscrit en
    Mars 2010
    Messages
    285
    Détails du profil
    Informations personnelles :
    Âge : 37
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations forums :
    Inscription : Mars 2010
    Messages : 285
    Points : 365
    Points
    365
    Par défaut
    Bof, je me fait pas trop de soucis à ce niveau.
    pour l'instant linux est pas rentable niveau infections.
    Développeur de RogueKiller

Discussions similaires

  1. Réponses: 4
    Dernier message: 03/07/2013, 21h02
  2. Les systèmes de templates / Moteurs de templates java
    Par eXiaNazaire dans le forum Langage
    Réponses: 4
    Dernier message: 13/04/2006, 13h38
  3. Les Systèmes Experts c'est quoi ?
    Par kauluguy dans le forum Langages de programmation
    Réponses: 21
    Dernier message: 07/04/2006, 09h58
  4. Les Système Multi-agent avec Java
    Par oussam dans le forum Langage
    Réponses: 1
    Dernier message: 09/02/2006, 00h41
  5. XSL ne parvient pas à lire les noeuds XML ??
    Par yahn dans le forum XSL/XSLT/XPATH
    Réponses: 6
    Dernier message: 27/06/2004, 19h29

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo