Rapport sur les menaces des rootkits du Microsoft Malware Protection Center

Microsoft Malware Protection Center a mis à disposition pour téléchargement son rapport sur les menaces sur les rootkits. Le rapport examine l`un des types de logiciels malveillants les plus insidieux qui menacent les organisations et les individus aujourd`hui: le rootkit. Le rapport examine comment les attaquants utilisent les rootkits et comment les rootkits fonctionnent sur les ordinateurs affectés. Voici un aperçu du rapport, à commencer par les Rootkits - pour les débutants.

Rootkit est un ensemble d`outils qu`un attaquant ou un créateur de malware utilise pour contrôler tout système exposé / non sécurisé qui autrement normalement réservé à un administrateur système. Au cours des dernières années, le terme «ROOTKIT» ou «FONCTIONNALITÉ DU ROOTKIT» a été remplacé par MALWARE - un programme conçu pour avoir des effets indésirables sur un ordinateur sain. La fonction principale de Malware est de retirer secrètement des données précieuses et d`autres ressources de l`ordinateur d`un utilisateur et de les fournir à l`attaquant, lui donnant ainsi le contrôle total de l`ordinateur compromis. De plus, ils sont difficiles à détecter et à enlever et peuvent rester cachés pendant de longues périodes, voire des années, s`ils ne sont pas remarqués.

Alors naturellement, les symptômes d`un ordinateur compromis doivent être masqués et pris en compte avant que le résultat ne se révèle fatal. En particulier, des mesures de sécurité plus strictes devraient être prises pour découvrir l`attaque. Mais, comme mentionné, une fois que ces rootkits / logiciels malveillants sont installés, ses capacités furtives rendent difficile leur suppression et les composants qu`il pourrait télécharger. Pour cette raison, Microsoft a créé un rapport sur ROOTKITS

Rapport de menace sur les rootkits

du rapport Microsoft Malware Protection Center Le rapport de 16 pages explique comment un attaquant utilise les rootkits et comment ces rootkits fonctionnent sur les ordinateurs affectés. Le but du rapport est d`identifier et d`examiner de près les logiciels malveillants puissants menaçant de nombreuses organisations, en particulier les utilisateurs d`ordinateurs. Il mentionne également certaines des familles de logiciels malveillants les plus répandues et met en lumière la méthode utilisée par les pirates pour installer ces rootkits à des fins égoïstes sur des systèmes sains. Dans le reste du rapport, vous trouverez des recommandations pour aider les utilisateurs à atténuer la menace des rootkits

Types de rootkits

Il existe de nombreux endroits où un logiciel malveillant peut s`installer dans un système d`exploitation. Ainsi, la plupart du temps, le type de rootkit est déterminé par son emplacement où il effectue sa subversion du chemin d`exécution. Cela inclut:

Rootkits en mode utilisateur

1. Rootkits en mode noyau
2. MBR Rootkits / bootkits
3. l`effet possible d`un compromis rootkit en mode noyau est illustré par une capture d`écran ci-dessous.

Le troisième type modifier l`enregistrement de démarrage principal pour prendre le contrôle du système et démarrer le processus de chargement le plus tôt possible dans la séquence de démarrage3. Il cache les fichiers, les modifications du registre, les preuves des connexions réseau ainsi que d`autres indicateurs possibles qui peuvent indiquer sa présence

Familles de malwares notables qui utilisent la fonctionnalité Rootkit

Win32 / Sinowal

13 - Une famille de composants multiples logiciels malveillants qui tentent de voler des données sensibles telles que les noms d`utilisateur et les mots de passe pour différents systèmes. Cela inclut tenter de voler les détails d`authentification pour une variété de comptes FTP, HTTP et email, ainsi que les informations d`identification utilisées pour les opérations bancaires en ligne et autres transactions financières. Win32 / Cutwail

15 - Un cheval de Troie qui télécharge et exécute arbitrairement des dossiers. Les fichiers téléchargés peuvent être exécutés à partir du disque ou injectés directement dans d`autres processus. Alors que la fonctionnalité des fichiers téléchargés est variable, Cutwail télécharge généralement les autres composants qui envoient du spam. Il utilise un rootkit en mode noyau et installe plusieurs pilotes de périphériques pour cacher ses composants aux utilisateurs affectés.

Win32 / Rustock

- Une famille multi-composants de chevaux de Troie backdoor activés par rootkit, initialement développée pour aider à la distribution de courriels "spam" via un botnet. Un botnet est un grand réseau d`ordinateurs infectés par un attaquant Protection contre les rootkits

Empêcher l`installation de rootkits est la méthode la plus efficace pour éviter l`infection par les rootkits. Pour cela, il est nécessaire d`investir dans des technologies de protection telles que les produits anti-virus et pare-feu. Ces produits doivent adopter une approche globale de la protection en utilisant la détection traditionnelle basée sur les signatures, la détection heuristique, la signature dynamique et réactive et le suivi du comportement.

Tous ces ensembles de signatures doivent être mis à jour à l`aide d`un mécanisme de mise à jour automatique. Les solutions antivirus Microsoft incluent un certain nombre de technologies spécialement conçues pour atténuer les rootkits, notamment la surveillance du comportement du noyau qui détecte les tentatives de modification du noyau d`un système affecté et signale les tentatives de modification. Si un système est trouvé compromis, un outil supplémentaire vous permettant de démarrer dans un environnement fiable ou de confiance peut s`avérer utile car il peut suggérer des mesures de correction appropriées.

Dans de telles circonstances, l`outil Balayeur autonome (Une partie du kit d`outils Microsoft Diagnostics and Recovery (DaRT)

Windows Defender Offline peut être utile.

1. Pour plus d`informations, vous pouvez télécharger le rapport PDF à partir du Centre de téléchargement Microsoft.