Les rootkits

Les rootkits

ROOTKITS: une menace de plus…

C’est quoi un rootkit ? Lorsque les pirates cherchent à prendre la main sur une machine, ils cherchent à récupérer en fait les droits administratifs de la machine;
Une fois ces droits acquis, cela leur permet d’installer des logiciels ou d’exécuter des commandes, et de là compromettre tout le système…


Ils deviennent alors « admin » ou « root » de la machine. Cette dénomination provient du fait que l’administrateur d’une machine Unix est « root » de la machine. Un
rootkit est alors un logiciel qui permet de gagner les droits administratifs sur une machine et de s’y maintenir comme tel. Ces logiciels vérifient et exploitent les failles connues des systèmes
et permettent au pirate d’avoir accès à la console de la machine en tant qu’administrateur :

Voici un exemple qui exploite la faille buffer overflow sur serveur Apache sous WIN32:
(bien entendu, toute indication vous permettant d’effectuer ce piratage a été supprimée)


Test déclenche un message d’erreur en changeant le paramètre à la fin de l’URL de la base:

Utilisation du rootkit : win32 bind

– indiquer un port déjà ouvert sur le système cible (trouvé avec un portmapper)

– TELNET sur le port ouvert dans une boite d?invite de commandes

– C:/>Whoami (qui suis-je ?)

C:/>NT/SYSTEM

Bingo ! Le pirate est administrateur de la machine ; Il va ensuite installer un logiciel de « sniffing » pour analyser le trafic entrant et sortant sur le réseau,
et notamment les mots de passe « en clair » : FTP, TELNET, etc… Il va également installer un keylogger pour intercepter toutes les frappes clavier, y compris les mots de passe forts et surtout
le mot de passe administrateur du réseau…

Comment contrer cette nouvelle menace?

Grâce à une mise à niveau des patches de sécurité permanente, mais également, en cas de doute, en passant un logiciel de détection de rootkit; En effet, ces
rootkits sont des logiciels qui tournent en mémoire dans les machines et donc peuvent être repérés par l’outil adéquat.

par exemple http://www.chkrootkit.org/


Le problème posé par ces rootkits, réside dans la facilité de leur mise en oeuvre : Avant, seuls des hackers expérimentés savaient s’en servir, notamment pour « la
bonne cause », à savoir les tests d’intrusion ; Aujourd’hui, n’importe quel « script kiddie » peut y avoir accès, par exemple sur le forum : http://www.rootkit.com/index.php

Nul doute, en voyant les réactions à ces nouvelles menaces que l’on a pas fini d’entendre parler des ROOTKIDS, ces pirates en herbe, variante des scripts
kiddies qui utilisent ces outils sans aucun scrupule et au détriment de nos entreprises et de nos économies…