un rootkit est un programme ou, plus souvent, une collection d’outils logiciels qui donne à un acteur de menace un accès à distance et un contrôle sur un ordinateur ou un autre système. Bien qu’il y ait eu des utilisations légitimes pour ce type de logiciel, par exemple pour fournir un support à l’utilisateur final à distance, la plupart des rootkits ouvrent une porte dérobée sur les systèmes de victimes pour introduire des logiciels malveillants, tels que des virus, des ransomwares, des programmes keylogger ou d’autres types de logiciels malveillants, ou, Les Rootkits tentent souvent d’empêcher la détection de logiciels malveillants par un logiciel antivirus endpoint.
les Rootkits peuvent être installés de plusieurs façons, y compris les attaques de phishing ou les tactiques d’ingénierie sociale pour inciter les utilisateurs à donner au rootkit l’autorisation d’être installé sur le système victime, donnant souvent aux cybercriminels à distance un accès administrateur au système.
Une fois installé, un rootkit donne à l’acteur distant l’accès et le contrôle sur presque tous les aspects du système d’exploitation (OS)., Les anciens programmes antivirus ont souvent eu du mal à détecter les rootkits, mais la plupart des programmes antimalware ont aujourd’hui la possibilité de rechercher et de supprimer les rootkits cachés dans un système.
comment fonctionnent les rootkits
comme les rootkits ne peuvent pas se propager par eux-mêmes, ils dépendent de méthodes clandestines pour infecter les ordinateurs. En règle générale, ils se propagent en se cachant dans un logiciel qui peut sembler légitime et pourrait en fait fournir des fonctions légitimes.,
lorsque les utilisateurs donnent à un programme d’installation de rootkit l’autorisation d’être installé sur leur système, le rootkit s’installe subrepticement et se cache jusqu’à ce qu’un pirate l’active. Un rootkit contiendra des outils malveillants, y compris des voleurs d’informations bancaires, des voleurs de mots de passe, des enregistreurs de frappe, des désactivateurs antivirus et des robots pour les attaques par déni de service distribué.,
les Rootkits sont généralement installés via les mêmes vecteurs communs que tout logiciel malveillant, y compris par des campagnes de phishing par e-mail, des fichiers malveillants exécutables, des fichiers PDF malveillants ou des documents Word, la connexion à des lecteurs partagés compromis ou le téléchargement de logiciels infectés par le rootkit à partir de sites Web risqués.,
symptômes d’infection par rootkit
l’un des principaux objectifs d’un rootkit est d’éviter la détection afin de rester installé et accessible sur le système victime, de sorte que les développeurs de rootkit visent à garder leur malware indétectable, ce qui signifie qu’il peut ne pas y avoir beaucoup de symptômes détectables qui signalent
un symptôme courant d’une infection par rootkit est que la protection antimalware cesse de fonctionner. Une application antimalware qui cesse de fonctionner indique qu’il y a une infection de rootkit active.,
un autre symptôme d’une infection par rootkit peut être observé lorsque les paramètres de Windows changent indépendamment, sans aucune action apparente de la part de l’utilisateur. D’autres comportements inhabituels, tels que des images d’arrière-plan qui changent ou disparaissent dans l’écran de verrouillage ou des éléments épinglés qui changent dans la barre des tâches, pourraient également indiquer une infection par rootkit.
enfin, des performances inhabituellement lentes ou une utilisation élevée du processeur et des redirections du navigateur peuvent également indiquer la présence d’une infection par rootkit.,
Types de rootkits
Il existe plusieurs types de rootkits différents caractérisés par la façon dont le rootkit infecte, fonctionne ou persiste sur le système cible.
un rootkit en mode noyau est conçu pour modifier les fonctionnalités d’un système d’exploitation. Ce type de rootkit ajoute généralement son propre code – et, parfois, ses propres structures de données – à des parties du noyau du système d’exploitation, connu sous le nom de noyau., De nombreux rootkits en mode noyau exploitent le fait que les systèmes d’exploitation permettent aux pilotes de périphériques ou aux modules chargeables de s’exécuter avec le même niveau de privilèges système que le noyau du système d’exploitation, de sorte que les rootkits sont empaquetés en tant que Pilotes de périphériques ou modules pour éviter la détection par un logiciel antivirus.
un rootkit en mode utilisateur, aussi parfois appelé rootkit d’application, s’exécute de la même manière qu’un programme utilisateur ordinaire. Les rootkits en mode utilisateur peuvent être initialisés comme d’autres programmes ordinaires lors du démarrage du système, ou ils peuvent être injectés dans le système par un compte-gouttes. La méthode dépend de l’OS., Par exemple, un rootkit Windows se concentre généralement sur la manipulation des fonctionnalités de base des fichiers de bibliothèque de liens dynamiques Windows, mais dans un système Unix, une application entière peut être complètement remplacée par le rootkit.
un bootkit, ou rootkit de bootloader, infecte l’enregistrement de démarrage principal d’un disque dur ou d’un autre périphérique de stockage connecté au système cible. Les Bootkits sont capables de renverser le processus de démarrage et de maintenir le contrôle sur le système après le démarrage et, par conséquent, ont été utilisés avec succès pour attaquer les systèmes qui utilisent un chiffrement complet du disque.,
les rootkits du micrologiciel tirent parti des logiciels intégrés au micrologiciel du système et s’installent dans les images du micrologiciel utilisées par les cartes réseau, les BIOSes, les routeurs ou d’autres périphériques ou périphériques.
la plupart des types d’infections de rootkits peuvent persister dans les systèmes pendant de longues périodes, car ils s’installent sur des périphériques de stockage système permanents, mais les rootkits de mémoire se chargent dans la mémoire de l’ordinateur (RAM). Les rootkits de mémoire ne persistent que jusqu’à ce que la RAM du système soit effacée, généralement après le redémarrage de l’ordinateur.,
détection et suppression des rootkits
les Rootkits sont conçus pour être difficiles à détecter et à supprimer; les développeurs de rootkits tentent de cacher leurs logiciels malveillants aux utilisateurs et aux administrateurs, ainsi qu’à de nombreux types de produits de sécurité. Une fois qu’un rootkit compromet un système, le potentiel d’activité malveillante est très élevé.
En règle générale, la détection de rootkit nécessite des add-ons spécifiques aux packages antimalware ou aux logiciels de scanner antirootkit à usage spécial.,
Il existe de nombreux outils de détection de rootkit adaptés aux utilisateurs expérimentés ou aux professionnels de l’informatique fournis par les fournisseurs antimalware, qui proposent généralement des scanners de rootkit ou d’autres outils de détection de rootkit à leurs clients. Bien que des scanners de rootkit tiers gratuits et payants soient également disponibles, il faut veiller à ce que tout logiciel d’analyse de sécurité soit fourni par un éditeur réputé, car les acteurs de la menace sont connus pour emballer et distribuer des logiciels malveillants en tant que logiciels de sécurité.,
la suppression des rootkits peut être difficile, en particulier pour les rootkits qui ont été incorporés dans les noyaux du système d’exploitation, dans les micrologiciels ou sur les secteurs de démarrage des périphériques de stockage. Alors que certains logiciels antirootkit est capable de détecter, ainsi que de supprimer, certains rootkits, ce type de malware peut être difficile à supprimer entièrement.
Une approche de suppression de rootkit consiste à réinstaller le système d’exploitation, ce qui, dans de nombreux cas, éliminera l’infection. La suppression des rootkits du bootloader peut nécessiter l’utilisation d’un système propre exécutant un système d’exploitation sécurisé pour accéder au périphérique de stockage infecté.