Comment détecter les rootkits dans Windows 10 (Guide détaillé)

Les rootkits sont utilisés par les pirates pour cacher des logiciels malveillants persistants et apparemment indétectables dans votre appareil, qui volent silencieusement des données ou des ressources, parfois sur plusieurs années. Ils peuvent également être utilisés à la manière d’un enregistreur de frappe où vos frappes au clavier et vos communications sont surveillées, fournissant au spectateur des informations de confidentialité.

Cette méthode de piratage particulière a été plus pertinente avant 2006, avant que Microsoft Vista n’impose aux fournisseurs de signer numériquement tous les pilotes d’ordinateur. La protection contre les correctifs du noyau (KPP) a amené les auteurs de logiciels malveillants à modifier leurs méthodes d’attaque et ce n’est que récemment à partir de 2018 Opération de fraude publicitaire de Zacinlo, les rootkits sont-ils revenus sous les projecteurs.

Comment detecter les rootkits dans Windows 10 Guide detaille

Les rootkits antérieurs à 2006 étaient tous spécifiquement basés sur le système d’exploitation. La situation Zacinlo, un rootkit de la famille de logiciels malveillants Detrahere, nous a donné quelque chose d’encore plus dangereux sous la forme d’un rootkit basé sur un firmware. Quoi qu’il en soit, les rootkits ne représentent qu’environ 1% de la production de tous les programmes malveillants vus chaque année.

Même ainsi, en raison du danger qu’ils peuvent présenter, il serait prudent de comprendre comment fonctionne la détection des rootkits qui peuvent déjà avoir infiltré votre système.

Détection des rootkits dans Windows 10 (en profondeur)

Comment detecter les rootkits dans Windows 10 Guide detaille

Zacinlo était en fait en jeu depuis près de six ans avant d’être découvert ciblant la plate-forme Windows 10. Le composant rootkit était hautement configurable et se protégeait des processus qu’il jugeait dangereux pour sa fonctionnalité et était capable d’intercepter et de déchiffrer les communications SSL.

Il crypte et stocke toutes ses données de configuration dans le registre Windows et, pendant que Windows s’arrête, se réécrit de la mémoire sur le disque en utilisant un nom différent et met à jour sa clé de registre. Cela l’a aidé à échapper à la détection par votre logiciel antivirus standard.

Cela montre qu’un antivirus ou un logiciel antimalware standard ne suffit pas pour détecter les rootkits. Cependant, il existe quelques programmes antimalwares de haut niveau qui vous alerteront des soupçons d’attaque de rootkit.

Les 5 attributs clés d’un bon logiciel antivirus

1608249406 34 Comment detecter les rootkits dans Windows 10 Guide detaille

La plupart des programmes antivirus de premier plan exécutent aujourd’hui ces cinq méthodes remarquables pour détecter les rootkits.

  • Analyse basée sur les signatures – Le logiciel antivirus comparera les fichiers enregistrés avec les signatures connues des rootkits. L’analyse cherchera également des modèles de comportement qui imitent certaines activités d’exploitation des rootkits connus, comme l’utilisation agressive des ports.
  • Détection d’interception – Le système d’exploitation Windows utilise des tables de pointeurs pour exécuter des commandes connues pour inciter un rootkit à agir. Étant donné que les rootkits tentent de remplacer ou de modifier tout ce qui est considéré comme une menace, cela avertira votre système de leur présence.
  • Comparaison de données multi-sources – Les rootkits, dans leur tentative de rester cachés, peuvent altérer certaines données présentées dans un examen standard. Les résultats renvoyés des appels système de haut et bas niveau peuvent révéler la présence d’un rootkit. Le logiciel peut également comparer la mémoire de processus chargée dans la RAM avec le contenu du fichier sur le disque dur.
  • Vérification de l’intégrité – Chaque bibliothèque système possède une signature numérique créée au moment où le système a été considéré comme «propre». Un bon logiciel de sécurité peut vérifier les bibliothèques pour toute altération du code utilisé pour créer la signature numérique.
  • Comparaisons de registres – La plupart des logiciels antivirus les ont sur un calendrier prédéfini. Un fichier propre sera comparé à un fichier client, en temps réel, pour déterminer si le client est ou contient un exécutable non demandé (.exe).

Effectuer des analyses de rootkit

1608249406 765 Comment detecter les rootkits dans Windows 10 Guide detaille

Effectuer une analyse de rootkit est la meilleure tentative pour détecter une infection de rootkit. Le plus souvent, on ne peut pas faire confiance à votre système d’exploitation pour identifier un rootkit seul et présente un défi pour déterminer sa présence. Les rootkits sont des maîtres espions, couvrant leurs traces à presque chaque tour et capables de rester cachés à la vue de tous.

Si vous soupçonnez qu’une attaque de virus rootkit a eu lieu sur votre ordinateur, une bonne stratégie de détection serait d’éteindre l’ordinateur et d’exécuter l’analyse à partir d’un système propre connu. Un moyen infaillible de localiser un rootkit dans votre machine consiste à effectuer une analyse de vidage de la mémoire. Un rootkit ne peut pas masquer les instructions qu’il donne à votre système lorsqu’il les exécute dans la mémoire de la machine.

Utilisation de WinDbg pour l’analyse des logiciels malveillants

1608249407 483 Comment detecter les rootkits dans Windows 10 Guide detaille

Microsoft Windows a fourni son propre outil de débogage multifonction qui peut être utilisé pour effectuer des analyses de débogage sur les applications, les pilotes ou le système d’exploitation lui-même. Il déboguera le code en mode noyau et en mode utilisateur, aidera à analyser les vidages sur incident et examinera les registres du processeur.

Certains systèmes Windows seront livrés avec WinDbg déjà fourni. Ceux qui n’en ont pas devront le télécharger depuis le Microsoft Store. Aperçu de WinDbg est la version la plus moderne de WinDbg, offrant des visuels plus faciles à regarder, des fenêtres plus rapides, des scripts complets et les mêmes commandes, extensions et flux de travail que l’original.

Au strict minimum, vous pouvez utiliser WinDbg pour analyser une mémoire ou un vidage sur incident, y compris un écran bleu de la mort (BSOD). À partir des résultats, vous pouvez rechercher des indicateurs d’attaque de malware. Si vous pensez que l’un de vos programmes peut être gêné par la présence de logiciels malveillants ou qu’il utilise plus de mémoire que nécessaire, vous pouvez créer un fichier de vidage et utiliser WinDbg pour faciliter son analyse.

Un vidage de mémoire complet peut occuper un espace disque important, il peut donc être préférable d’effectuer un Mode noyau dump ou Small Memory dump à la place. Un vidage en mode noyau contiendra toutes les informations sur l’utilisation de la mémoire par le noyau au moment de la panne. Un petit vidage de mémoire contiendra des informations de base sur différents systèmes tels que les pilotes, le noyau, etc., mais est minuscule en comparaison.

Les petits vidages de mémoire sont plus utiles pour analyser pourquoi un BSOD s’est produit. Pour détecter les rootkits, une version complète ou noyau sera plus utile.

Création d’un fichier de vidage en mode noyau

1608249407 795 Comment detecter les rootkits dans Windows 10 Guide detaille

Un fichier de vidage en mode noyau peut être créé de trois manières:

  • Activez le fichier de vidage à partir du panneau de configuration pour permettre au système de se bloquer tout seul
  • Activez le fichier de vidage à partir du Panneau de configuration pour forcer le système à se bloquer
  • Utilisez un outil de débogage pour en créer un pour vous

Nous allons opter pour le choix numéro trois.

Pour effectuer le fichier de vidage nécessaire, il vous suffit de saisir la commande suivante dans la fenêtre de commande de WinDbg.

1608249407 591 Comment detecter les rootkits dans Windows 10 Guide detaille

Remplacer Nom de fichier avec un nom approprié pour le fichier de vidage et le «?» avec un F. Assurez-vous que le «f» est en minuscule, sinon vous créerez un autre type de fichier de vidage.

Une fois que le débogueur a terminé son cours (le premier scan prendra des minutes considérables), un fichier de vidage aura été créé et vous pourrez analyser vos résultats.

Comprendre ce que vous recherchez, comme l’utilisation de la mémoire volatile (RAM), pour déterminer la présence d’un rootkit demande de l’expérience et des tests. Il est possible, bien que non recommandé pour un novice, de tester les techniques de découverte de logiciels malveillants sur un système en direct. Pour ce faire, il faudra à nouveau une expertise et des connaissances approfondies sur le fonctionnement de WinDbg afin de ne pas déployer accidentellement un virus vivant dans votre système.

Il existe des moyens plus sûrs et plus conviviaux pour les débutants de découvrir notre ennemi bien caché.

Méthodes de numérisation supplémentaires

1608249407 547 Comment detecter les rootkits dans Windows 10 Guide detaille

La détection manuelle et l’analyse comportementale sont également des méthodes fiables pour détecter les rootkits. Tenter de découvrir l’emplacement d’un rootkit peut être un problème majeur. Au lieu de cibler le rootkit lui-même, vous pouvez plutôt rechercher des comportements de type rootkit.

Vous pouvez rechercher des rootkits dans les ensembles de logiciels téléchargés à l’aide des options d’installation avancées ou personnalisées lors de l’installation. Ce que vous devrez rechercher, ce sont tous les fichiers inconnus répertoriés dans les détails. Ces fichiers doivent être supprimés ou vous pouvez effectuer une recherche rapide en ligne pour toute référence à un logiciel malveillant.

Les pare-feu et leurs rapports de journalisation sont un moyen incroyablement efficace de découvrir un rootkit. Le logiciel vous avertira si votre réseau est sous contrôle et devrait mettre en quarantaine tout téléchargement non reconnaissable ou suspect avant l’installation.

Si vous pensez qu’un rootkit peut déjà être sur votre ordinateur, vous pouvez plonger dans les rapports de journalisation du pare-feu et rechercher tout comportement inhabituel.

Examen des rapports de journalisation du pare-feu

1608249408 590 Comment detecter les rootkits dans Windows 10 Guide detaille

Vous voudrez passer en revue vos rapports de journalisation de pare-feu actuels, en créant une application open source comme Espion de trafic IP avec des capacités de filtrage des journaux de pare-feu, un outil très utile. Les rapports vous montreront ce qu’il faut voir en cas d’attaque.

Si vous avez un grand réseau avec un pare-feu de filtrage de sortie autonome, IP Traffic Spy ne sera pas nécessaire. Au lieu de cela, vous devriez être en mesure de voir les paquets entrants et sortants vers tous les périphériques et postes de travail sur le réseau via les journaux du pare-feu.

Que vous soyez dans une maison ou dans une petite entreprise, vous pouvez utiliser le modem fourni par votre FAI ou, si vous en possédez un, un pare-feu personnel ou un routeur pour extraire les journaux du pare-feu. Vous pourrez identifier le trafic pour chaque appareil connecté au même réseau.

Il peut également être utile d’activer les fichiers journaux du pare-feu Windows. Par défaut, le fichier journal est désactivé, ce qui signifie qu’aucune information ou donnée n’est écrite.

  • Pour créer un fichier journal, ouvrez la fonction Exécuter en appuyant sur le bouton Touche Windows + R.
  • Type wf.msc dans la boîte et appuyez sur Entrer.
1608249408 58 Comment detecter les rootkits dans Windows 10 Guide detaille
  • Dans la fenêtre Pare-feu Windows et sécurité avancée, sélectionnez «Pare-feu Windows Defender avec sécurité avancée sur l’ordinateur local» dans le menu de gauche. Dans le menu à l’extrême droite, sous « Actions », cliquez sur Propriétés.
1608249408 99 Comment detecter les rootkits dans Windows 10 Guide detaille
  • Dans la nouvelle fenêtre de dialogue, accédez à l’onglet «Profil privé» et sélectionnez Personnaliser, que vous pouvez trouver dans la section «Journalisation».
1608249408 835 Comment detecter les rootkits dans Windows 10 Guide detaille
  • La nouvelle fenêtre vous permettra de sélectionner la taille du fichier journal à écrire, l’endroit où vous souhaitez que le fichier soit envoyé et s’il faut enregistrer uniquement les paquets perdus, la connexion réussie ou les deux.
1608249409 537 Comment detecter les rootkits dans Windows 10 Guide detaille
  • Les paquets abandonnés sont ceux que le pare-feu Windows a bloqués en votre nom.
  • Par défaut, les entrées du journal du pare-feu Windows ne stockent que les 4 derniers Mo de données et se trouvent dans le % SystemRoot% System32 LogFiles Firewall Pfirewall.log
  • Gardez à l’esprit que l’augmentation de la taille limite d’utilisation des données pour les journaux peut avoir un impact sur les performances de votre ordinateur.
  • presse D’accord Une fois terminé.
  • Ensuite, répétez les mêmes étapes que vous venez de suivre dans l’onglet «Profil privé», cette fois uniquement dans l’onglet «Profil public».
    • Les journaux seront désormais générés pour les connexions publiques et privées. Vous pouvez afficher les fichiers dans un éditeur de texte comme le Bloc-notes ou les importer dans une feuille de calcul.
    • Vous pouvez maintenant exporter les fichiers journaux dans un programme d’analyse de base de données comme IP Traffic Spy pour filtrer et trier le trafic pour une identification facile.

Gardez un œil sur tout ce qui sort de l’ordinaire dans les fichiers journaux. Même la moindre erreur système peut indiquer une infection rootkit. Quelque chose comme une utilisation excessive du processeur ou de la bande passante lorsque vous n’exécutez rien de trop exigeant, ou pas du tout, peut être un indice majeur.