Barron Mertens reconnait avoir été déconcerté le mois dernier lorsqu’un cluster de machines sous Windows 2000 qu’il héberge à l’université d’Ontario commence à « planter » de manière complètement aléatoire et sans raison apparente. Le seul indice qu’avait Barron pour tenter de résoudre ce problème était le message d’erreur qui faisait référence à un composant Windows « ierk8243.sys ». Il n’avait jamais entendu parlé de ce composant, et lorsqu’il contacta Microsoft, eux même n’en connaissaient pas l’existence. Depuis que le cluster avait été placé en production il y a deux ans, il n’avait jamais fait ce type d’erreur se rappelle Barron Mertens.
Barron Mertens ne le savait pas à ce moment, mais le réseau de l’université avait été compromis et ces mystérieux plantages étaient en fait la preuve qu’un intrus avait réussi à s’introduire et installer un outil lui permettant d’être quasiment indétectable.
”Slanret", "IERK," et "Backdoor-ALI” sont des Rootkits pour Windows, ces ensembles de programmes permettent de tromper au plus bas niveau le système d’exploitation Microsoft Windows. Les éditeurs de solutions Antivirus informent qu’une fois installés ils ne peuvent pas être détectés par les moyens conventionnels.
Aussi connus sous le nom de “Kernel mode Trojans”, les RootKits sont bien plus sophistiqués que les Backdoors classiques. La différence réside dans leurs capacités à contrôler le système compromis. Les Backdoors classiques comme SubSeven ou BO2K sont exécutées comme une application standard dans Windows, ces programmes héritent donc des mêmes capacités qu’un quelconque programme lancé par un utilisateur et sont donc facilement détectables par les antivirus, grâce aux traces dans la base de registre par exemple.
Le Rootkit lui se loge directement au cœur du système d’exploitation ou il peut intercepter les appels systèmes que les autres programmes utilisent pour exécuter des instructions et des fonctions basiques comme accéder aux fichier du disque dur.
Le Rootkit se positionne comme interface entre le système d’exploitation et les programmes, décidant ainsi de ce qu’ils peuvent voir ou faire. Bien évidement sa position lui permet de se « cacher ». Si une application essaie de lister le contenu des répertoires pouvant contenir les fichiers de Rootkit, celui-ci va pouvoir « censurer » la réponse en ne renvoyant pas au programme la liste des tous les fichiers. Le Rootkit peut évidemment faire la même chose avec la base de registre et la liste des processus actifs. Il a aussi la capacité de cacher d’autres fichiers que le pirate ne veut pas montrer comme les mp3, les listes de mots de passes etc.
“Slanret” n’est techniquement qu’un composant du rootkit. Il est installé avec un programme backdoor de 27 Kilo bytes appelé Krei qui écoute en permanence un port et permet au pirate d’accéder au système par cette porte dérobée.
Le composant “Slanret” est une routine de 7 kilo-octet qui permet d’installer le Rootkit en tant que “module de gestion de périphérique” au cœur du système. Il attend alors les instructions du pirate comme cacher tel dossier ou tel processus. D’après Mertens, cette technique effrayante pourrait permettre de cacher un éléphant.
Les Rootkits sont courants dans le monde Unix & Linux, cependant il est très rare d’en retrouver sur des machines Microsoft Windows compromises, d’après Marc Maiffret, Chief Officier de l’entreprise eEye basée en Californie.
Gred Hoglund, consultant en sécurité informatique en Californie, pense que ces techniques sont utilisées depuis plusieurs années déjà et que nous allons pouvoir observer une recrudescence de leur utilisation dans les années à venir.
Gred Hoglund fait office de spécialiste dans ce domaine, il a déjà tiré la sonnette d’alarme en 1999 lorsqu’il fit la démonstration des capacités de son propre outil “NT Rootkit”. Depuis il a peu récupéré d’autres Rootkits comme “null.sys”,”HE4Hook” et “Hacker Defender” afin de les analyser. Ces outils sont disponibles sur le site www.rootkit.com.
D’après lui, de nombreuses personnes ont les compétences pour développer de tels programmes. Le mois dernier, il donnait un séminaire au “Black Hat Security Conference” à Seattle et tous les étudiants de l’auditoire écrivaient déjà leur propre RootKit pour Windows ayant la capacité de cacher des processus, des fichiers et répertoires.
En dépit des améliorations portées à ce genre de programmes il existe des moyens pour les détecter et les éradiquer. Une méthode simple est de booter la machine en “safe mode” rendant le Rootkit incapable d’opérer, il devient alors possible de retrouver les fichiers du Rootkit qui ne peuvent plus être cachés.
Flux Rss
Version PDF
Commenter 
Les pirates informatiques mettent au point et utilisent des techniques de plus en plus sophistiquées pour secrètement contrôler les machines qu’ils pénètrent, et ce n’est que le commencement d’après Kevin Poulsen rédacteur en chef de SecurityFocus.Com 
