Your SlideShare is downloading. ×
McAfee : L'éradication des rootkits
McAfee : L'éradication des rootkits
McAfee : L'éradication des rootkits
McAfee : L'éradication des rootkits
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

McAfee : L'éradication des rootkits

847

Published on

Vous pensez peut-être que les rootkits sont des logiciels malveillants comme bien …

Vous pensez peut-être que les rootkits sont des logiciels malveillants comme bien
d'autres, au même titre que les virus, les vers ou les chevaux de Troie. Détrompez-vous,
ils constituent une menace bien plus dangereuse. Deux caractéristiques les distinguent
des codes malveillants traditionnels que les systèmes antivirus et IPS, basés sur les fichiers,
sont censés bloquer : ils opèrent incognito car actifs à bas niveau, et ils jouent un rôle
essentiel dans le camouflage des menaces complexes. McAfee Deep Defender exploite
les technologies Intel de manière à être le premier pilote à se charger.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
847
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Rapport de synthèse L'éradication des rootkits Barbara Kay, CISSP Analyste en chef Secure By Design Group
  • 2. 2 Rapport de synthèse — L’éradication des rootkits Vous pensez peut-être que les rootkits sont des logiciels malveillants comme bien d'autres, au même titre que les virus, les vers ou les chevaux de Troie. Détrompez-vous, ils constituent une menace bien plus dangereuse. Deux caractéristiques les distinguent des codes malveillants traditionnels que les systèmes antivirus et IPS, basés sur les fichiers, sont censés bloquer : ils opèrent incognito car actifs à bas niveau, et ils jouent un rôle essentiel dans le camouflage des menaces complexes. McAfee Deep Defender exploite les technologies Intel de manière à être le premier pilote à se charger. Il peut ainsi détecter et refuser l'accès aux rootkits qui tentent de s'insinuer sur les postes clients. Ce rapport de synthèse offre un aperçu de l'architecture technique, des techniques d'analyse et des scénarios d'utilisation de Deep Defender. Pour plus d'informations, téléchargez le livre blanc L'éradication des rootkits dans son intégralité ou le McAfee Deep Defender Best Practices Guide (Guide des meilleures pratiques McAfee Deep Defender). McAfee® Labs™ identifie en moyenne 200 000 nouveaux rootkits chaque trimestre, soit au total près de 4 millions d'échantillons de rootkit1 . Parmi cette collection, les rootkits de secteur de démarrage principal (MBR, Master Boot Record) sont sans doute parmi les plus préoccupants. Par exemple, TDSS infecte le secteur de démarrage principal pour se charger avant les autres pilotes et toutes les solutions antivirus. Il parvient ainsi à désactiver la protection antivirus, les outils de protection du système d'exploitation et les débogueurs, entre autres. TDSS infecte également les fichiers existants à la manière d'un parasite, créant et administrant un système de fichiers chiffrés dans lequel est stockée sa charge active. Les analyseurs à l'accès sont incapables de détecter les voleurs de mots de passe et autres menaces présents dans le « coffre-fort » du rootkit. Ces derniers sont tout simplement invisibles2 . Figure 1 — Les attaques impliquant des rootkits de secteur de démarrage principal ont fortement augmenté à la fin de l'année 20123 . Pour empêcher ces rootkits de s'installer, de se dissimuler eux-mêmes et de masquer d'autres logiciels malveillants, McAfee a mis au point une technique de détection pour les postes clients plus sophistiquée que les signatures antimalware et que l'analyse heuristique au niveau du système d'exploitation : McAfee Deep Defender. McAfee Deep Defender tire parti de l'assistance matérielle d'Intel et se charge en premier lieu, ce qui lui confère une position privilégiée lui permettant de démasquer, de bloquer et de supprimer les activités en mode noyau et au niveau du secteur de démarrage principal des rootkits furtifs. Figure 2 — McAfee DeepSAFE aide McAfee Deep Defender à se charger avant les autres logiciels afin de repérer et de contrer les comportements anormaux. « Les rootkits modernes ne servent pas à élever les privilèges d'accès : ils exploitent leur furtivité pour rendre indétectable la charge d'autres logiciels généralement malveillants. Cette charge active peut voler dans le plus grand secret des mots de passe utilisateur, des informations de carte de crédit ou des ressources informatiques, ou mener bien d'autres activités non autorisées. La nature furtive de cette activité implique qu'une longue période, parfois plusieurs années, peut s'écouler avant que l'attaque soit identifiée. » — Jason Brown McAfee Deep Defender Best Practices Guide (Guide des meilleures pratiques McAfee Deep Defender)
  • 3. 3Rapport de synthèse — L’éradication des rootkits McAfee Deep Defender est le premier produit à intégrer McAfee DeepSAFE™ , une technologie avancée combinant les compétences matérielles d'Intel et l'expertise de McAfee en matière de sécurité informatique. McAfee DeepSAFE permet une surveillance en temps réel de la mémoire grâce à des fonctionnalités matérielles au niveau des processeurs Intel Core i3, i5 et i7. Dès que McAfee Deep Defender a neutralisé le rootkit, la charge en mode utilisateur que ce dernier dissimulait se retrouve exposée et peut être détectée et supprimée par la fonctionnalité traditionnelle d'analyse des fichiers du logiciel McAfee VirusScan® Enterprise. Les deux produits interagissent avec McAfee Global Threat Intelligence™ afin de protéger sans délai le système et toute autre cible potentielle. Au cœur des fonctions de détection et d'analyse de McAfee Les composants McAfee DeepSAFE, McAfee Deep Defender et McAfee VirusScan Enterprise exécutent tous trois des analyses, mais celles-ci présentent de légères variantes. Les types d'analyses et de corrections fournies dépendent en effet des ressources, des accès et des caractéristiques du niveau auquel ces solutions opèrent. Par exemple, McAfee DeepSAFE est le composant de niveau le plus bas, qui surveille les opérations liées au noyau. Il possède une logique légère totalement orientée sur l'accès à la mémoire afin de déterminer ce qui est normal ou ne l'est pas. Il est capable d'empêcher le chargement de pilotes et de suspendre des menaces en mode noyau. Pour ce qui est de la suppression du code, McAfee DeepSAFE transmet les informations sur le comportement anormal du pilote vers les couches supérieures jusqu'à l'agent McAfee Deep Defender. L'agent McAfee Deep Defender dispose de davantage de temps et de ressources de calcul pour exécuter une analyse plus poussée. Il reçoit les informations de McAfee DeepSAFE et prend en considération les éventuelles répercussions. L'agent s'appuie sur un ensemble ciblé de contenus antivirus pour étudier et analyser les fichiers, le registre, la mémoire et l'exécution des processus. Si l'analyse identifie une famille de rootkits, McAfee Deep Defender exécute une analyse supplémentaire et prend les mesures correctives nécessaires. Des données en temps réel sur les accès à la mémoire et sur les interactions de code malveillant permettent à McAfee Deep Defender d'effectuer une détection subtile et complète et de prendre des mesures correctives, à la différence de l'analyse orientée fichiers des solutions antivirus traditionnelles telles que McAfee VirusScan Enterprise. La visibilité sur les événements liés à la mémoire et au noyau permet également à McAfee Deep Defender de bénéficier de plus d'informations que les systèmes de prévention des intrusions. Scénarios détaillés Le livre blanc L'éradication des rootkits décrit la prouesse technique que représente McAfee Deep Defender en s'appuyant sur des cas d'utilisation détaillés : l'un à propos d'un système infecté lors d'une attaque par phishing (hameçonnage), l'autre se penchant sur un système déjà infecté. Dans le scénario de l'attaque par phishing, McAfee DeepSAFE détecte la tentative de chargement du rootkit en mémoire. Le composant McAfee DeepSAFE alerte l'agent McAfee Deep Defender, lequel bloque le rootkit et applique des mesures correctives. Dans le second scénario, McAfee Deep Defender est installé sur un système déjà infecté par un ou plusieurs rootkits. La figure ci-dessous illustre les actions menées contre deux classes de rootkits : les rootkits de pilote de démarrage et ceux qui agissent comme de simples pilotes en mode noyau. Figure 3 — McAfee Deep Defender agit à plusieurs niveaux pour bloquer une attaque malveillante. Si des rootkits sont déjà présents, il est préférable d'installer McAfee Deep Defender à l'aide du logiciel McAfee ePolicy Orchestrator® . La séquence de démarrage s'exécute au redémarrage du système, mais la protection McAfee Deep Defender est activée dès le processus de démarrage et McAfee VirusScan Enterprise se charge des mesures de correction. 100 % McAfee Deep Defender Fournisseur A Fournisseur B 83 % 67 % Protection contre les rootkits « jour zéro » (Rootkitsdétectés) 100 % McAfee Deep Defender Fournisseur A 38 % Protection comportementale contre les rootkits « jour zéro » (Rootkitsdésactivés) Source : Test comparatif des solutions de protection proactive contre les rootkits, AV-TEST, février 2013 McAfee Deep Defender a fourni une protection totale lors d'un test sur la détection des rootkits mené par un organisme indépendant.
  • 4. McAfee S.A.S. Tour Franklin, La Défense 8 92042 Paris La Défense Cedex France +33 1 47 62 56 00 (standard) www.mcafee.com/fr McAfee, le logo McAfee, McAfee DeepSAFE, ePolicy Orchestrator, McAfee Global Threat Intelligence, McAfee Labs, SiteAdvisor et VirusScan sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc. ou de ses filiales aux Etats-Unis et dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs. Les plans, les spécifications et les descriptions des produits mentionnés dans le présent document sont donnés à titre indicatif uniquement. Ils peuvent être modifiés sans préavis et sont fournis sans aucune garantie, implicite ou explicite. Copyright © 2013 McAfee, Inc. 60252exs_root-out-rootkits_0513_fnl_ASD En savoir plus Les rootkits représentent la dernière escalade dans le conflit qui oppose depuis des décennies les développeurs de logiciels malveillants et les experts en sécurité informatique. Grâce à l'insertion au sein du noyau d'opérations inédites de surveillance et de contrôle, McAfee Deep Defender offre aux entreprises un moyen de lutter contre ces attaques furtives. Pour plus d'informations, téléchargez le livre blanc L'éradication des rootkits dans son intégralité ou le McAfee Deep Defender Best Practices Guide (Guide des meilleures pratiques McAfee Deep Defender). A propos de McAfee McAfee, filiale à part entière d'Intel Corporation (NASDAQ : INTC), met ses compétences au service des entreprises, du secteur public et des particuliers pour les aider à profiter en toute sécurité des avantages d'Internet. McAfee propose des solutions et des services proactifs réputés, qui assurent la sécurisation des systèmes, des réseaux et des terminaux mobiles dans le monde entier. Avec sa stratégie Security Connected, une approche innovante de la sécurité optimisée par le matériel, et son réseau mondial de renseignements sur les menaces Global Threat Intelligence, McAfee consacre tous ses efforts à garantir à ses clients une sécurité sans faille. http://www.mcafee.com/fr 1 McAfee Labs, mai 2013 2 « Predicting the Future of Stealth Attacks » (Prévisions sur l'avenir des attaques furtives), Kapoor et Mathur, Virus Bulletin, octobre 2011 3 Rapport McAfee Labs sur le paysage des menaces, 1er trimestre 2013

×