Comment détecter les rootkits dans Windows 10 (Guide détaillé)
Les rootkits sont utilisés par les pirates informatiques pour cacher des logiciels malveillants persistants et apparemment indétectables dans votre appareil qui volent silencieusement des données ou des ressources, parfois au cours de plusieurs années. Ils peuvent également être utilisés à la manière d'un enregistreur de frappe où vos frappes et vos communications sont surveillées pour fournir au spectateur des informations sur la confidentialité.
Cette méthode de piratage particulière a été plus pertinente avant 2006, avant que Microsoft Vista n'oblige les fournisseurs à signer numériquement tous les pilotes d'ordinateur. La protection contre les correctifs du noyau (KPP) a poussé les auteurs de programmes malveillants à modifier leurs méthodes d'attaque et ce n'est que récemment à partir de 2018 avec le Opération de fraude publicitaire Zacinlo, que les rootkits sont revenus sous les projecteurs. wp-block-image ">
Les rootkits antérieurs à 2006 étaient tous spécifiquement basés sur le système d'exploitation. La situation de Zacinlo, un rootkit de la famille des logiciels malveillants Detrahere, nous a donné quelque chose d'encore plus dangereux sous la forme d'un rootkit basé sur un firmware. Quoi qu'il en soit, les rootkits ne représentent qu'environ 1% de tous les programmes malveillants générés chaque année.
Malgré cela, en raison du danger qu'ils peuvent présenter, il serait prudent de comprendre comment fonctionne la détection des rootkits qui ont déjà infiltré votre système.
Détection des rootkits dans Windows 10 (dans -Depth)
Zacinlo avait en fait depuis près de six ans avant d'être découvert ciblant la plate-forme Windows 10. Le composant rootkit était hautement configurable et se protégeait des processus qu'il jugeait dangereux pour sa fonctionnalité et était capable d'intercepter et de décrypter les communications SSL.
Il crypterait et stockerait toutes ses données de configuration dans le registre Windows et, pendant l'arrêt de Windows, réécrivez-le de la mémoire sur le disque en utilisant un nom différent et mettez à jour sa clé de registre. Cela l'a aidé à échapper à la détection par votre logiciel antivirus standard.
In_content_1 all: [300x250] / dfp: [640x360]->
Cela montre qu'un antivirus standard ou un logiciel anti-programme malveillant ne suffit pas pour détecter les rootkits. Cependant, il existe quelques programmes antimalware de niveau supérieur qui vous alerteront des soupçons d'une attaque de rootkit.
Les 5 attributs clés d'un bon logiciel antivirus
La plupart des programmes antivirus de premier plan utilisent aujourd'hui ces cinq méthodes remarquables pour détecter les rootkits.
Analyse basée sur les signatures- Le logiciel antivirus comparera les fichiers enregistrés avec les signatures connues des rootkits. L'analyse recherchera également des modèles de comportement qui imitent certaines activités d'exploitation des rootkits connus, telles qu'une utilisation agressive des ports.
Détection d'interception- Le système d'exploitation Windows utilise des tables de pointeurs pour exécuter des commandes connues pour inciter un rootkit à agir. Étant donné que les rootkits tentent de remplacer ou de modifier tout élément considéré comme une menace, cela avertira votre système de leur présence.
Comparaison de données multi-sources- Rootkits, dans leur tentative de rester caché , peut altérer certaines données présentées lors d'un examen standard. Les résultats renvoyés des appels système de haut et bas niveau peuvent révéler la présence d'un rootkit. Le logiciel peut également comparer la mémoire de processus chargée dans la RAM avec le contenu du fichier sur le disque dur.
Contrôle d'intégrité- Chaque bibliothèque système possède une signature numérique créée à l'époque, le système était considéré comme «propre». Un bon logiciel de sécurité peut vérifier les bibliothèques pour toute altération du code utilisé pour créer la signature numérique.
Comparaisons de registres- La plupart des logiciels antivirus les ont sur une planification prédéfinie. Un fichier propre sera comparé à un fichier client, en temps réel, pour déterminer si le client est ou contient un exécutable non demandé (.exe).
Exécution de scans Rootkit
Exécution d'un l'analyse des rootkits est la meilleure tentative pour détecter une infection par les rootkits. Le plus souvent, votre système d'exploitation ne peut pas faire confiance pour identifier un rootkit seul et présente un défi pour déterminer sa présence. Les rootkits sont des maîtres espions, couvrant leurs traces à presque chaque tour et capables de rester cachés à la vue.
Si vous pensez qu'une attaque de virus rootkit a eu lieu sur votre machine, une bonne stratégie de détection serait de éteignez l'ordinateur et exécutez l'analyse à partir d'un système propre connu. Un moyen infaillible de localiser un rootkit dans votre machine consiste à effectuer une analyse de vidage de mémoire. Un rootkit ne peut pas cacher les instructions qu'il donne à votre système car il les exécute dans la mémoire de la machine.
Utilisation de WinDbg pour l'analyse des logiciels malveillants
Microsoft Windows a fourni son propre outil de débogage multifonction qui peut être utilisé pour effectuer débogage des analyses sur les applications, les pilotes ou le système d'exploitation lui-même. Il déboguera le code en mode noyau et en mode utilisateur, aidera à analyser les vidages sur incident et examinera les registres du processeur.
Certains systèmes Windows seront livrés avec WinDbg déjà inclus. Ceux sans devra le télécharger à partir du Microsoft Store. Aperçu WinDbg est la version la plus moderne de WinDbg, offrant des visuels plus agréables, des fenêtres plus rapides, des scripts complets et les mêmes commandes, extensions et workflows que l'original.
À au strict minimum, vous pouvez utiliser WinDbg pour analyser une mémoire ou un vidage sur incident, y compris un écran bleu de la mort (BSOD). À partir des résultats, vous pouvez rechercher des indicateurs d'une attaque de malware. Si vous pensez que l'un de vos programmes peut être gêné par la présence de malware, ou utilise plus de mémoire que nécessaire, vous pouvez créer un fichier de vidage et utilisez WinDbg pour aider à l'analyser.
Un vidage de mémoire complet peut occuper un espace disque important, il est donc préférable d'effectuer un vidage en mode noyauou un petit vidage de mémoire à la place. Un vidage en mode noyau contiendra toutes les informations d'utilisation de la mémoire par le noyau au moment du crash. Un vidage de petite mémoire contiendra des informations de base sur différents systèmes tels que les pilotes, le noyau, etc., mais est minuscule en comparaison.
Les vidages de petite mémoire sont plus utiles pour analyser la raison pour laquelle un BSOD s'est produit. Pour détecter les rootkits, une version complète ou noyau sera plus utile.
Création d'un fichier de vidage en mode noyau
Un fichier de vidage en mode noyau peut être créé de trois manières:
Activez le fichier de vidage du Panneau de configuration pour permettre au système de se bloquer seul
Activez le fichier de vidage du Panneau de configuration pour forcer le système à se bloquer
Utilisez un outil de débogage pour en créer un pour vous
Nous irons avec le choix numéro trois.
Pour effectuer le fichier de vidage nécessaire, il vous suffit de saisir la commande suivante dans la fenêtre de commande de WinDbg.
Remplacez FileNamepar un nom approprié pour le fichier de vidage et le "?" par un f. Assurez-vous que le «f» est en minuscules, sinon vous créerez un autre type de fichier de vidage.
Une fois que le débogueur a terminé son cours (la première analyse prendra des minutes considérables), un fichier de vidage ont été créés et vous serez en mesure d'analyser vos résultats.
Comprendre ce que vous recherchez, comme l'utilisation de mémoire volatile (RAM), pour déterminer la présence d'un rootkit prend de l'expérience et des tests. Il est possible, bien que non recommandé pour un novice, de tester des techniques de découverte de logiciels malveillants sur un système en direct. Pour ce faire, il faudra à nouveau une expertise et des connaissances approfondies sur le fonctionnement de WinDbg afin de ne pas déployer accidentellement un virus vivant dans votre système.
Il existe des moyens plus sûrs et plus adaptés aux débutants pour découvrir notre bien- ennemi caché.
Méthodes de numérisation supplémentaires
La détection manuelle et l'analyse comportementale sont également des méthodes fiables pour détecter les rootkits. Tenter de découvrir l'emplacement d'un rootkit peut être une douleur majeure, donc, au lieu de cibler le rootkit lui-même, vous pouvez plutôt rechercher des comportements similaires à ceux du rootkit.
Vous pouvez rechercher des rootkits dans des ensembles de logiciels téléchargés en utilisant Options d'installation avancées ou personnalisées lors de l'installation. Vous devez rechercher les fichiers inconnus répertoriés dans les détails. Ces fichiers doivent être supprimés, ou vous pouvez effectuer une recherche rapide en ligne pour toute référence à des logiciels malveillants.
Les pare-feu et leurs rapports de journalisation sont un moyen incroyablement efficace de découvrir un rootkit. Le logiciel vous avertira si votre réseau est sous surveillance et devrait mettre en quarantaine tous les téléchargements méconnaissables ou suspects avant l'installation.
Si vous pensez qu'un rootkit peut déjà être sur votre ordinateur, vous pouvez plonger dans les rapports de journalisation du pare-feu et rechercher tout comportement inhabituel.
Examen des rapports de journalisation du pare-feu
Vous allez souhaitez revoir vos rapports de journalisation de pare-feu actuels, en faisant une application open source comme IP Traffic Spyavec des capacités de filtrage des journaux de pare-feu, un outil très utile. Les rapports vous montreront ce qu'il faut voir en cas d'attaque.
Si vous avez un grand réseau avec un pare-feu de filtrage de sortie autonome, IP Traffic Spy ne sera pas nécessaire. Au lieu de cela, vous devriez pouvoir voir les paquets entrants et sortants vers tous les appareils et postes de travail sur le réseau via les journaux de pare-feu.
Que vous soyez dans une maison ou une petite entreprise, vous pouvez utiliser le modem fourni par votre FAI ou, si vous en possédez un, un pare-feu personnel ou un routeur pour afficher les journaux du pare-feu. Vous pourrez identifier le trafic pour chaque appareil connecté au même réseau.
Il peut également être utile d'activer les fichiers journaux du pare-feu Windows. Par défaut, le fichier journal est désactivé, ce qui signifie qu'aucune information ou donnée n'est écrite.
Pour créer un fichier journal, ouvrez la fonction Exécuter en appuyant sur la touche Windows + R.
Tapez wf.mscdans la case et appuyez sur Enter.
Dans la fenêtre Pare-feu Windows et sécurité avancée, sélectionnez" Pare-feu Windows Defender avec Sécurité avancée sur l'ordinateur local »dans le menu de gauche. Dans le menu de droite, sous "Actions", cliquez sur Propriétés.
Dans la nouvelle fenêtre de dialogue, accédez à l'onglet "Profil privé" et sélectionnez Personnaliser, qui peut se trouve dans la section "Journalisation".
La nouvelle fenêtre vous permettra de sélectionner la taille d'un fichier journal à écrire, où vous souhaitez que le fichier soit envoyé et si vous souhaitez enregistrer uniquement les paquets perdus, une connexion réussie ou les deux .
Les paquets supprimés sont ceux que le pare-feu Windows a bloqués en votre nom.
Par défaut, les entrées du journal du pare-feu Windows ne stockent que les 4 derniers Mo de données et se trouvent dans le % SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log
N'oubliez pas que l'augmentation de la taille limite d'utilisation des données pour les journaux peut affecter les performances de votre ordinateur.
Appuyez sur OKlorsque vous avez terminé.
Ensuite, répétez les mêmes étapes que vous venez de suivre dans l'onglet "Profil privé", mais cette fois dans l'onglet "Profil public".
Les journaux seront désormais générés pour les connexions publiques et privées. Vous pouvez afficher les fichiers dans un éditeur de texte comme le Bloc-notes ou les importer dans une feuille de calcul.
Vous pouvez maintenant exporter les fichiers journaux dans un programme d'analyse de base de données comme IP Traffic Spy pour filtrer et trier le trafic facilement identification.
Gardez un œil sur tout ce qui sort de l'ordinaire dans les fichiers journaux. Même la moindre défaillance du système peut indiquer une infection par rootkit. Quelque chose dans le sens d'une utilisation excessive du processeur ou de la bande passante lorsque vous n'exécutez rien de trop exigeant, ou du tout, peut être un indice majeur.
[Tuto] Totale suppression de vos Malwares ! | Rapide et 100% efficace – Fr