Ce n'est certainement pas un hasard si le mot « rootkit » revient de plus en plus souvent dans les discussions sur les épidémies massives, les botnets ou les autres menaces particulièrement sérieuses pour la sécurité informatique. De fait, ces logiciels malveillants sont actuellement considérés comme particulièrement dangereux pour les utilisateurs de PC et comptent pour une large part dans les difficultés rencontrées par les éditeurs d'antivirus dans leur lutte contre les auteurs de malware.
Nous avons demandé à Vyacheslav Rusakov, spécialiste des logiciels au sein du groupe de recherche contre les programmes malveillants les plus complexes chez Kaspersky Lab, de nous indiquer comment les éditeurs d'antivirus traitent ce type de programme malveillant et quelles sont les perspectives immédiates.

SV : Depuis un an ou deux, on entend de plus en plus parler des menaces qui pèsent sur nos activités numériques du fait de programmes malveillants comme les rootkits. Le problème est-il vraiment si grave ? Quelles les sont les difficultés rencontrées par ceux qui luttent contre ces menaces ?
V : Les programmes malveillants complexes ont toujours existé parallèlement à des formes plus simples. La majorité des programmes malveillants ne sont pas très compliqués du point de vue technologique, et en cela les root-kits n'ont rien d'original. En fait, il existe juste une poignée de rootkits vraiment complexes.Les types les plus courants se composent de pilotes élémentaires en mode noyau qui masquent ou limitent l'accès aux fichiers système et aux branches du registre, et qui occultent les activités frauduleuses du programme malveillant. C'est ce comportement qui rend difficiles la détection et l'élimination du code malveillant du rootkit par certains produits antivirus. Mais pour la plupart des antivirus un peu plus performants, ces rootkits sont très faciles à détecter, à analyser et à éliminer.
La situation se complique nettement si l'on a à faire à des rootkits plus complexes. Heureusement, pour le moment il n'en existe pas beaucoup, essentiellement parce que leur création présente de grandes difficultés techniques. Mais ce sont ces rootkits qui sont intégrés aux programmes utilisés par les cyber-délinquants pour créer des réseaux de zombies à grande échelle, et malheureusement, ils se diffusent très rapidement. Les pirates prennent très au sérieux la création de root-kits, ce qui complique très vite la tâche des analystes antivirus, dès la réalisation de l'analyse statique du programme malveillant. Pour corser le tout, les auteurs de root-kits ont recours à l'obscurcissement et au polymorphisme pour mieux cacher le caractère criminel du code exécutable. Lorsqu'un root-kit est spécialement conçu pour infecter les fichiers système, les choses deviennent extrêmement compliquées, car il faut identifier le mode de fonctionnement de l'infection par le virus avant d'élaborer un algorithme capable de le neutraliser.
Après l'analyse statique, l'analyste doit réaliser une analyse dynamique dans une zone de test spéciale.
Les résultats de cette analyse doivent confirmer et compléter les informations fournies par l'analyse statique. Ces informations seront ensuite utilisées pour effectuer une détection en mémoire et désactiver le rootkit actif. Parfois, la détection d'un rootkit est à l'origine du développement d'un ensemble de technologies entièrement nouveau et original permettant de détecter et de traiter les programmes malveillants

SV : Quelles méthodes détournées les cyber-délinquants emploient-ils pour tenter d'infecter un système ?
V : Parmi les dernières tendances, la plus notable consiste à infecter les pilotes en mode noyau et le MBR. Ces rootkits cachent soigneusement leur présence sur l'ordinateur de leur victime et sont extrêmement résistants. Kaspersky Lab a développé ses propres méthodes et procédures pour détecter et traiter les ordinateurs infectés par ce type de menace. Concernant les rootkits particulièrement dangereux que sont Bootkit et TDSS (TDL3), des technologies innovantes et extrêmement spécialisées ont été mises au point pour garantir la détection de tous les rootkits qui, dans l'avenir, auront des modes de fonctionnement similaires.

SV : On entend des rumeurs sur les risques de voir des infections du BIOS commencer à circuler. Qu'en pensez-vous ? Est-ce pos-sible ?
V : Malheureusement, ce sont plus que des rumeurs. Nous avons la preuve que ces technologies existent. Le BIOS de l'ordinateur est la base de lancement idéale pour les root-kits. Avec cette méthode d'infection, le rootkit peut s'activer avant même que le système d'exploitation ait pu se charger. En théorie, on pourrait tout à fait voir apparaître des root-kits de ce type. Mais ils sont très longs à créer à cause de la complexité de la technologie sous-jacente. Pour commencer, le BIOS doit être reprogrammé, ce qui est en soi une tâche difficile puisqu'elle nécessite un accès local au PC ; ensuite, il ne faut pas oublier que le BIOS est différent selon le fabricant et qu'il ne peut donc pas exister de méthode universelle d'infection. Je ne dis pas que ces difficultés sont insurmontables, mais à l'heure actuelle cette solution est très difficile à mettre en ?uvre. Il n'est pas vraiment possible de donner une réponse catégorique. L'avenir nous dira ce qu'il en est. Mais je peux vous assurer que si ce type de programme malveillant devait voir le jour, les laboratoires d'antivirus qui manquent de personnel qualifié seraient en grande difficulté.

SV : Que se passerait-il si du code malveillant parvenait à atteindre le firmware de différents composants ? Par exemple, des cartes réseau ou vidéo ?
V: Pour moi, le plus vraisemblable serait que les vulnérabilités des pilotes qui desservent ces composants soient exploitées. Mais si on regarde les choses depuis un autre angle, si le code malveillant est capable de prendre le contrôle avec ce type d'infection, il faut prendre le risque très au sérieux. N'oubliez pas que le principal objectif des cyber-délinquants, c'est de gagner de l'argent. Plus les méthodes utilisées sont simples, moins ils ont de frais. C'est la raison pour laquelle les technologies complexes ne prendront le pas que lorsque les méthodes moins sophistiquées seront devenues obsolètes et ne rapporteront plus. Jusque-là, seuls quelques chercheurs spécialisés continueront de s'atteler à la question.

SV : Est-il possible d'exploiter les vulnérabilités du processeur pour créer des rootkits pratiquement indétectables ? Les éditeurs d'antivirus seraient-ils capables de combattre de telles menaces ?
V : On peut faire des erreurs dans n'importe quel type de logiciel et le microcode du processeur ne fait pas exception. Mais je doute que, dans la pratique, il soit possible de les exploiter. En fait, d'un point de vue technologique, il est très difficile de tirer parti de vulnérabilités de ce type. Il faut tenir compte de toutes les difficultés à surmonter pour créer un outil d'exploitation qui soit universel. Dans tous les cas, je suis certain que si une telle menace devait émerger, les éditeurs d'antivirus sortiraient le grand jeu pour fournir à leurs utilisateurs un produit à jour capable de contrer cette menace.

RE

Source :