Microsoft Malware Protection Center a mis à disposition pour téléchargement son rapport de menace sur les rootkits. Le rapport examine l'un des types de logiciels malveillants les plus insidieux qui menacent aujourd'hui les organisations et les individus: le rootkit. Le rapport examine comment les attaquants utilisent les rootkits et comment ceux-ci fonctionnent sur les ordinateurs affectés. Voici un résumé du rapport, en commençant par ce que sont les rootkits - pour le débutant.
Rootkit est un ensemble d'outils qu'un attaquant ou un créateur de malware utilise pour prendre le contrôle de tout système exposé / non sécurisé, qui sinon serait normalement réservé à un administrateur système. MALWARE, un programme conçu pour avoir des effets indésirables sur un ordinateur en bonne santé, a été remplacé ces dernières années par le terme «ROOTKIT» ou «FONCTIONNALITÉ DU ROOTKIT». La principale fonction de Malware est de retirer secrètement des données précieuses et d’autres ressources de l’ordinateur d’un utilisateur et de les transmettre à l’attaquant, lui donnant ainsi le contrôle complet de l’ordinateur compromis. En outre, ils sont difficiles à détecter et à supprimer et peuvent rester cachés pendant de longues périodes, voire des années, si ils passent inaperçus.
Il va donc de soi que les symptômes d'un ordinateur compromis doivent être masqués et pris en compte avant que l'issue ne soit fatale. En particulier, des mesures de sécurité plus strictes doivent être prises pour détecter l'attaque. Mais, comme mentionné, une fois ces rootkits / programmes malveillants installés, ses fonctionnalités furtives rendent difficile sa suppression, ainsi que les composants qu’elle pourrait télécharger. Pour cette raison, Microsoft a créé un rapport sur les ROOTKITS.
Rapport de menace sur les rootkits de Microsoft Malware Protection Center
Le rapport de 16 pages explique comment un attaquant utilise les rootkits et comment ces rootkits fonctionnent sur les ordinateurs affectés.
Types de rootkits
Il existe de nombreux endroits où un logiciel malveillant peut s’installer dans un système d’exploitation. Ainsi, le type de rootkit est principalement déterminé par son emplacement où il effectue sa subversion du chemin d’exécution. Ceci comprend:
- Rootkits en mode utilisateur
- Kits rootkits en mode noyau
- Rootkits / bootkits MBR
L'effet possible d'une compromission de rootkit en mode noyau est illustré par une capture d'écran ci-dessous.
Familles de malwares notables utilisant la fonctionnalité Rootkit
Win32 / Sinowal13 - Une famille de logiciels malveillants à plusieurs composants qui tente de voler des données sensibles telles que des noms d’utilisateur et des mots de passe pour différents systèmes. Cela inclut une tentative de vol de détails d'authentification pour une variété de comptes FTP, HTTP et de messagerie, ainsi que des informations d'identification utilisées pour les opérations bancaires en ligne et autres transactions financières.
Win32 / Cutwail15 - Un cheval de Troie qui télécharge et exécute des fichiers arbitraires. Les fichiers téléchargés peuvent être exécutés à partir du disque ou injectés directement dans d'autres processus. Bien que la fonctionnalité des fichiers téléchargés soit variable, Cutwail télécharge généralement d’autres composants qui envoient du spam.
Il utilise un rootkit en mode noyau et installe plusieurs pilotes de périphérique pour cacher ses composants aux utilisateurs concernés.
Win32 / Rustock - Une famille multi-composants de chevaux de Troie backdoor activés par rootkit, initialement développée pour faciliter la distribution du courrier indésirable via un botnet. Un réseau de zombies est un réseau d'ordinateurs compromis contrôlé par un attaquant.
Protection contre les rootkits
Empêcher l’installation de rootkits est la méthode la plus efficace pour éviter les infections par les rootkits. Pour cela, il est nécessaire d’investir dans des technologies de protection telles que les produits antivirus et pare-feu. Ces produits doivent adopter une approche globale de la protection en utilisant la détection traditionnelle basée sur la signature, la détection heuristique, la capacité de signature dynamique et réactive et la surveillance du comportement.
Tous ces ensembles de signatures doivent être tenus à jour à l'aide d'un mécanisme de mise à jour automatisé. Les solutions antivirus de Microsoft incluent un certain nombre de technologies conçues spécifiquement pour limiter les rootkits, notamment la surveillance en temps réel du comportement du noyau qui détecte et signale les tentatives de modification du noyau d’un système affecté, ainsi que l’analyse directe du système de fichiers facilitant l’identification et la suppression des pilotes cachés.
Si un système est trouvé compromis, un outil supplémentaire vous permettant de démarrer sur un environnement reconnu ou de confiance peut s'avérer utile car il peut suggérer des mesures correctives appropriées.
Dans de telles circonstances,
- Outil autonome de balayage du système (élément du Microsoft Diagnostics and Recovery Toolset (DaRT))
- Windows Defender Offline peut être utile.
Pour plus d'informations, vous pouvez télécharger le rapport au format PDF à partir du Centre de téléchargement Microsoft.
Articles Similaires:
- Liste du logiciel Free Rootkit Remover pour Windows
- Télécharger McAfee Rootkit Remover pour Windows
- Lancement de Bitdefender Rootkit Remover pour Windows
- Comment sécuriser le processus de démarrage de Windows 10
- Qu'est-ce que le rootkit? Comment fonctionnent les rootkits? Les rootkits ont expliqué.
![Les codes PIN à 4 chiffres les plus courants et les moins utilisés [Rapport d'analyse de sécurité]](https://i.technology-news-hub.com/images/blog/the-most-common-and-least-used-4-digit-pin-numbers-security-analysis-report-1-j.webp "Les codes PIN à 4 chiffres les plus courants et les moins utilisés [Rapport d'analyse de sécurité]")
