Un problème de sécurité sournois, ignoré par les méchants

Frank Boldewin avait vu beaucoup de logiciels malveillants en son temps, mais jamais rien de tel que Rustock.C.

Utilisé pour infecter des PC Windows et les transformer en serveurs de spam involontaires, Rustock.C est un rootkit Il s'installe sur le système d'exploitation Windows et utilise une variété de techniques sophistiquées qui le rendent presque impossible à détecter ou même à analyser.

Quand il a commencé à regarder le code plus tôt cette année, cela provoquait simplement le crash de son ordinateur.. Il y avait un cryptage au niveau du pilote, qui devait être déchiffré, et il était écrit en langage assembleur, en utilisant une structure de code spaghetti qui rendait extrêmement difficile pour Boldewin de comprendre ce que le logiciel faisait réellement. Comment faire pour supprimer les logiciels malveillants de votre PC Windows]

Analyser un rootkit est généralement une soirée de travail pour quelqu'un avec les compétences techniques de Boldewin. Avec Rustock.C, cependant, il lui a fallu des jours pour comprendre comment fonctionnait le logiciel.

Parce qu'il est si difficile à repérer, Boldewin, chercheur en sécurité chez le fournisseur de services informatiques allemand GAD, pense que Rustock.C existait Pendant près d'un an, les produits antivirus ont commencé à le détecter.

Voici l'histoire des rootkits. Ils sont sournois. Mais sont-ils une menace majeure?

À la fin de 2005, Mark Russinovich a découvert le rootkit le plus célèbre. Un expert de la sécurité Windows, Russinovich a été déconcerté un jour quand il a découvert un rootkit sur son PC. Après une enquête, il a finalement découvert que le logiciel de protection contre la copie utilisé par Sony BMG Music Entertainment utilisait des techniques de rootkit pour se cacher sur les ordinateurs. Le logiciel de Sony n'était pas conçu pour faire quoi que ce soit de malicieux, mais il était pratiquement indétectable et extrêmement difficile à enlever.

Le rootkit de Sony est devenu un désastre majeur pour la société, qui a dépensé des millions en règlements légaux.

Trois ans plus tard, Russinovich, un collaborateur technique de Microsoft, considère toujours que c'est le rootkit qui a causé le plus de problèmes aux utilisateurs d'ordinateurs.

Mais le rootkit de Sony présageait des problèmes pour les éditeurs d'antivirus. Le fait qu'aucun d'entre eux n'ait remarqué ce logiciel pendant environ un an était un œil noir sérieux pour l'industrie de la sécurité.

Bien qu'ils aient démarré sur des machines Unix des années plus tôt, à l'époque du fiasco Sony, les rootkits étaient considérés la prochaine grande menace pour les fournisseurs d'antivirus. Des chercheurs en sécurité ont exploré l'utilisation de la technologie de virtualisation pour dissimuler les rootkits et ont débattu de la possibilité de créer un rootkit complètement indétectable.

Mais Russinovich dit maintenant que les rootkits n'ont pas réussi à tenir leur hype. "Ils ne sont pas aussi répandus que tout le monde s'attendait qu'ils le soient", a-t-il déclaré dans une interview.

"Les logiciels malveillants fonctionnent aujourd'hui très différemment du moment où l'engouement pour les rootkits se faisait sentir". "Alors … les logiciels malveillants jetteraient des popups partout sur votre bureau et envahiraient votre navigateur.Aujourd'hui, nous voyons un type de malware totalement différent."

Le malware d'aujourd'hui fonctionne silencieusement en arrière-plan, spammant ou hébergeant ses sites Web la victime a déjà remarqué ce qui se passe. Ironiquement, bien qu'ils soient conçus pour échapper à la détection, les rootkits au niveau noyau les plus sophistiqués sont souvent si intrusifs qu'ils attirent l'attention sur eux-mêmes, disent les experts en sécurité.

"Il est extrêmement difficile d'écrire du code planter votre ordinateur ", a déclaré Alfred Huger, vice-président de l'équipe de sécurité de Symantec. "Votre logiciel peut facilement marcher sur quelqu'un d'autre."

Huger reconnaît que même si les rootkits posent encore problème aux utilisateurs d'Unix, ils ne sont pas très répandus sur les PC Windows.

Les rootkits représentent moins de 1% de tous les tentatives d'infection que Symantec suit ces jours-ci. Quant à Rustock.C, malgré toute sa sophistication technique, Symantec ne l'a repéré que 300 fois dans la nature.

«Sur l'ensemble du spectre des malwares, c'est un tout petit morceau et le risque est aujourd'hui limité», a déclaré Huger.

Cependant, tout le monde n'est pas d'accord avec les conclusions de Symantec. Thierry Zoller, directeur de la sécurité des produits chez n.runs, affirme que Rustock.C a été largement diffusé via le fameux Russian Business Network et que les infections sont probablement dans les dizaines de milliers.

"Les rootkits ont été utilisés pour maintenir l'accès à un »a-t-il dit dans une interview réalisée via un message instantané.

En fin de compte, les criminels peuvent éviter les rootkits pour une raison très simple: ils ne le font tout simplement pas.

Au lieu d'utiliser des techniques de rootkit sournoises, les pirates ont plutôt développé de nouvelles techniques pour rendre la tâche difficile aux éditeurs d'antivirus de faire la différence entre leurs logiciels et leurs programmes légitimes. Par exemple, ils fabriquent des milliers de versions différentes d'un même programme malveillant, faisant ainsi le tour du code à chaque fois, ce qui rend difficile la détection des produits antivirus.

Par exemple, Symantec a suivi près d'un demi-million nouveaux types de codes malveillants, en hausse de 136% par rapport au premier semestre. Les experts en sécurité affirment que cette situation est encore pire en 2008.

«Les choses que nous traversons ne sont pas si compliquées», a déclaré Greg Hoglund, PDG de HBGary, une société qui vend des logiciels pour aider les clients à réagir aux intrusions informatiques. "La plupart des logiciels malveillants qui existent actuellement … ne tentent même pas de se cacher."

Par exemple, l'un des clients de HB Gary a récemment été victime d'une attaque ciblée. Les méchants savaient exactement ce qu'ils voulaient et, après s'être infiltrés dans le réseau, ils ont balayé l'information avant même que l'équipe de réponse aux incidents de l'entreprise ne puisse y arriver, a dit Hoglund. "Il était très clair que les attaquants savaient qu'ils s'en tireraient si vite qu'ils n'auraient même pas à se cacher."