Tutoriel collaboratif : détecter un rootkit

Pending... · Le 20/01/2019, à 13:49

Bonjour,

Sur divers forums, et de différents langages, il revient souvent la peur d'être infecté par un rootkit (ou bien un RAT, remote administration tool, ou encore des malwares d’espionnage) ? Nous savons que Linux est très sécurisé au niveau des virus, principalement car ceux qui sont écrits le sont pour pouvoir se propager le plus possible et que Linux ne dispose ni d'une couverture suffisante (environ 5% des ordinateurs de bureau) ni des mêmes vecteurs d'infection (impossibilité d'exécuter du code arbitraire sans l'intervention de l'utilisateur, programmes disponibles via des paquets officiels donc vérifiés, mises à jour rapides, etc). En revanche, il existe le mythe du rootkit, puisque ce terme et ce type de malware provient en premier lieu des machines Unix.

Or, hormis les serveurs, mais il s'agit là d'un autre problème (un système non mis à jour est immédiatement à risque), même sur Linux, et donc sur des distributions de bureau, les infections sont tellement rares qu'elles ne sont quasiment jamais vraiment avérées, voire tout simplement jamais. Il existe des rootkits, que l'on peut trouver par exemple sur Github, et je citerais les plus récents comme Vlany, Azazel ou Jynx2 pour des rootkits userland (par opposition aux rootkits en mode noyau, et ceux que l'on trouve sur Github sont souvent expérimentaux et donc bien moins aboutis. Ces derniers sont le plus souvent de "Proof of Concept" pour la démonstration, sont très dépendants de la version du noyau, et donc rapidement non fonctionnels sur des noyaux plus récents sans réécriture).

Alors, effectivement, il existe aussi des outils d’espionnage gouvernementaux, notamment pour le renseignement. On sait que ça existe mais personne n'en a jamais "capturé" un "vivant", hormis les sociétés d'antivirus dont le job est aussi de scanner ce qu'il se passe à travers le monde en terme d'infection. Ces outils-là ne sont évidemment pas le sujet de ce tutoriel : c'est une autre catégorie et hormis des personnes impliquées de près ou de loin dans des activités douteuses ou stratégiques (qui n'ont besoin d'aucune aide et dont aucune aide ne sera de toute façon utile), on peut partir du principe que ça ne concerne personne.

Alors si ça vous intéresse, je vous propose d'échanger sur les méthodes de détection d'un "extrêmement improbable malware" de ce type et je pourrais faire éventuellement une synthèse ici, dans ce premier post si nécessaire. Qu'en pensez-vous ? Ça permettra de mieux cerner sa réalité, son improbabilité et puis d'avoir une marche à suivre si quelqu'un voudrait à tout prix vérifier qu'il ne soit pas infecté. Les anti-rootkits comme Rkhunter ou Chkrootkit sont effectivement des outils dont l'efficacité est assez douteuse pour ce genre de détection, mais je crois que c'est quelque chose qui a souvent été débattu ici. Ceci dit, rien n'empêche de revenir dessus et de préciser pourquoi. Bref, puisque les rootkits sont un thème récurrent, en plus d'être intéressant, l'idée de ce topic serait de lister et de synthétiser les connaissances autour de ce sujet. Qu'en dites-vous ?

uboops · Le 20/01/2019, à 15:06

Bonjour,
Comme précepte, il faut déjà savoir qu'il n'y a pas de des failles logicielles (rootkit, rat, remote administration tool, ou encore des malwares d’espionnage, etc) ,
... il y en a aussi des failles matérielles/conceptuelles, et sur celles là, il n'y a pas d'actions correctives possibles pour le commun des mortels.

Ex: Les failles matérielles Spectre et Meltdown
https://www.begeek.fr/de-nouvelles-fail … tel-275415

Après il y a des outils logiciels pour détecter et/ou corriger les failles matérielles et logicielles, ex: spectre-meltdown-checker , rkhunter , chkrootkit, etc ...

... Et d'innombrables autres méthodes, que je ne connais pas, ou pas bien ...

Dernière modification par uboops (Le 20/01/2019, à 15:11)

Pending... · Le 20/01/2019, à 17:03

Après, les failles meltdown et spectre ont été corrigées (sur les versions à jour). Je crois qu'ils ont découvert un autre type de ces failles, mais je n'ai pas suivi, et je crois que ça a été soit corrigé, soit c'est inexploitable à distance. De plus, les navigateurs aussi ont été corrigés pour éviter l'exploitation de ces failles via javascript, et il me semble que firefox ESR n'était d'ailleurs même pas concerné.

Après, si ça intéresse des personnes, personnellement, je m'installerais une VM pour tester les rootkits en mode noyau que l'on peut trouver sur github. C'est un sujet que je ne maîtrise absolument pas et ça me le fera bosser un peu !

nam1962 · Le 20/01/2019, à 17:09

Mwé...
Il y a déjà des dizaines de fils sur le sujet.
La plupart sont en plus des nids à trolls.

Tout ça pour de vagues alertes, des outils qui retournent une majorité de faux positifs et des "infections" qui supposent un accès physique à la bécane, ou un timing de folie (genre être à l'écoute au moment précis ou un cache temporaire est activé...)

Bref, oublie.

uboops · Le 20/01/2019, à 17:52

nam1962 a écrit :

Mwé...
...
Bref, oublie.

... C'est ce que j'ai fais aussi, de toute façon, à part les protections basiques, antivirus pour les mails, chkrootkit, etc, il n'y a pas d'autres moyens que de faire confiance ... impossible de tout contrôler par soi même, à moins d'être omniscient ;-) ... Il est possible néanmoins de minimiser le risque.

Dernière modification par uboops (Le 20/01/2019, à 17:54)

Pending... · Le 20/01/2019, à 17:59

Honnêtement, je me tâtais... Ça peut en effet vite devenir un sujet extrêmement vaste où l'on se perd... et si quelqu'un souhaite s'informer, il y a effectivement beaucoup, beaucoup de sources, mais qui demandent beaucoup, beaucoup de boulot.

J'étais en train de lire sur les rootkits en mode noyau, et rien que là dessus, il y a de quoi s'arracher les cheveux pendant quelques mois, voire quelques années !

krodelabestiole · Le 20/01/2019, à 18:23

à moins de faire absolument n'importe quoi ubuntu est suffisamment sécurisé pour l'écrasante majorité des utilisateurs.

ceci étant dit si la sécurité est une question à ce point primordiale pour vous je pense que vous n'avez rien à faire sur linux, et en particulier sur ubuntu dont la sécurité n'est pas l'orientation primordiale, au contraire de l'experience utilisateur ("linux for human beings").
si vous voulez quelque chose de franchement solide orientez-vous plutôt vers OpenBSD par ex. dont c'est la préoccupation première.

nam1962 · Le 20/01/2019, à 21:26

Et, avec BSD, rien que l'install ça occupe

krodelabestiole · Le 21/01/2019, à 00:30

au cas où ce serait pas clair, je dis ça sans condescendance : à mon avis en premier lieu on sécurise pas un système en bricolant des "détecteurs de rootkit" (cf windows), mais en basant son système sur une architecture qui s'efforce de rester simple, stricte et éprouvée.

et à mon avis c'est là qu'OpenBSD marque des points sur linux.

Dernière modification par krodelabestiole (Le 21/01/2019, à 01:08)

uboops · Le 21/01/2019, à 02:24

Re Pour des distributions axées sécurité, il y a du choix ...

https://distrowatch.com/search.php?osty … ive#simple

1. Kali Linux (18)
2. Parrot (20)
3. Tails (37)
4. Linux Kodachi (45)
5. Alpine Linux (60)
6. Qubes OS (62)
7. ClearOS (66)
8. BlackArch Linux (77)
9. OpenBSD (78)
etc

Dernière modification par uboops (Le 21/01/2019, à 02:25)

krodelabestiole · Le 21/01/2019, à 05:31

je connais pas toutes ces distros mais à ma connaissance kali, parrot et blackarch ne sont pas forcément particulièrement sécurisée...
elles sont plutôt axées "sécurité" dans le sens ou elles fournissent des outils qui permettent de tester la sécurité d'installations tierces.

d'après les descriptions tails et kodachi fournissent surtout des outils d'anonymisation (tor / vpn).

alpine c'est une distro minimale qu'on utilise souvent pour des images docker. je savais pas que c'était particulièrement sécurisé. il s'agit pas d'un GNU/Linux mais d'un busybox / Linux.

et je savais pas non plus que c'était OpenBSD qui était derrière OpenSSH.

Pending... · Le 21/01/2019, à 11:04

Qubes est effectivement pas mal du tout au niveau sécurité, ou Gentoo Hardened avec Grsecurity (enfin quand c'était le cas). Mais à choisir, j'opterais pour du homemade, rien de tel pour faire des nœuds à un attaquant.

Après, c'est dommage que Grsecurity ne soit plus disponible gratuitement. Mais là, on parle effectivement de distributions ou de modifications surdimensionnées et assez inutile pour Mr tout-le-monde sur un ordinateur de bureau. D'ailleurs, je ne crois pas que Grecurity apporte beaucoup plus de sécurité contre des rootkits en userland (ce qui est par contre le cas pour les "mode noyau").

uboops · Le 21/01/2019, à 14:53

... Il y a apparemment maintenant le "secure boot" sur le nouveau Debian, et/ou la possibilité de signer les modules en mode "kernel modules" ... donc c'est quasi du "mode noyau" du coup avec les modules signés.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 20/01/2019, à 13:49

Tutoriel collaboratif : détecter un rootkit

#2 Le 20/01/2019, à 15:06

Re : Tutoriel collaboratif : détecter un rootkit

#3 Le 20/01/2019, à 17:03

Re : Tutoriel collaboratif : détecter un rootkit

#4 Le 20/01/2019, à 17:09

Re : Tutoriel collaboratif : détecter un rootkit

#5 Le 20/01/2019, à 17:52

Re : Tutoriel collaboratif : détecter un rootkit

#6 Le 20/01/2019, à 17:59

Re : Tutoriel collaboratif : détecter un rootkit

#7 Le 20/01/2019, à 18:23

Re : Tutoriel collaboratif : détecter un rootkit

#8 Le 20/01/2019, à 21:26

Re : Tutoriel collaboratif : détecter un rootkit

#9 Le 21/01/2019, à 00:30

Re : Tutoriel collaboratif : détecter un rootkit

#10 Le 21/01/2019, à 02:24

Re : Tutoriel collaboratif : détecter un rootkit

#11 Le 21/01/2019, à 05:31

Re : Tutoriel collaboratif : détecter un rootkit

#12 Le 21/01/2019, à 11:04

Re : Tutoriel collaboratif : détecter un rootkit

#13 Le 21/01/2019, à 14:53

Re : Tutoriel collaboratif : détecter un rootkit

Pied de page des forums