Comment détecter les rootkits sur Windows, Linux et Mac ?

Vous êtes au bon endroit si vous voulez apprendre à détecter les rootkits sur différents systèmes d'exploitation et les moyens de les empêcher.

Un rootkit est une sorte de logiciel malveillant secret et mortel que les pirates utilisent pour prendre le contrôle total d'un ordinateur ou d'un réseau. En utilisant les rootkits, l'attaquant peut facilement manipuler et voler les données du système.

Les rootkits peuvent apparaître comme un seul logiciel, mais il s'agit généralement d'un ensemble d'outils qui fournissent aux attaquants un accès administratif non autorisé au système cible tout en dissimulant activement sa présence.

Une fois qu'un rootkit a été placé d'une manière ou d'une autre dans le système, l'attaquant aura la possibilité d'exécuter des fichiers distants et de modifier la configuration système de la machine hôte. Le moyen le plus simple d'identifier une infection rootkit dans un système ou un serveur consiste à exécuter une analyse rootkit.

Commençons.

Comment détecter les Rootkits dans un système ?

Il n'est pas facile de détecter manuellement un rootkit sur un ordinateur ou un serveur. Les rootkits restent toujours déguisés sous la forme d'une autre application ou d'un fichier. Il est donc difficile de détecter leur présence. Cependant, il existe des outils de ligne de commande, des logiciels et des méthodes pour détecter automatiquement les rootkits dans divers systèmes d'exploitation.

les fenêtres

Pour Windows, il n'y a pas d'outils en ligne de commande pour détecter les rootkits. Cependant, une application de scanner puissante et exhaustive appelée GMER détecte et même supprime très efficacement le rootkit sur le système Windows.

Cet outil recherche dans tout le système les threads cachés, les clés de registre et d'autres processus cachés. Effectue tous les types d'analyses telles que le comportement, la signature et la vérification de l'intégrité pour détecter et supprimer le rootkit.

Cette application est bénéfique pour détecter tous les types de rootkit tels que le mode noyau, l'application, la mémoire et les rootkits du chargeur de démarrage. Il fonctionne sur tous les principaux systèmes d'exploitation Windows.

Linux et Mac OS

Dans toutes les distributions Linux et Mac OS, vous pouvez facilement détecter les rootkits à l'aide des outils de ligne de commande chkrootkit et rkhunter .

Utilisation de chkrootkit

chkrootkit recherche en profondeur les chevaux de Troie, les logiciels malveillants et d'autres types de codes malveillants dans le système binaire de la machine. Il recherche les modifications apportées par le rootkit dans les fichiers binaires exécutables du système. chkrootkit n'est pas pré-installé dans la distribution Linux.

Cet outil est simple à utiliser et peut être installé avec la commande suivante :

 sudo apt-get install chkrootkit

ou vous pouvez également l'installer en clonant le référentiel Git.

 git clone https://github.com/Magentron/chkrootkit.git

Ensuite, accédez à ce répertoire et exécutez le chkrootkit.

 ./chkrootkit

Cette commande lance la chasse aux rootkits dans le système. Vous pouvez utiliser la commande help pour plus d'instructions sur l'utilisation de cet outil.

 ┌──(rootkali)-[/home/geekflare/chkrootkit] └─# ./chkrootkit -help Usage: ./chkrootkit [options] [test ...] Options: -h show this help and exit -V show version information and exit -l show available tests and exit -d debug -q quiet mode -x expert mode -r dir use dir as the root directory -p dir1:dir2:dirN path for the external commands used by chkrootkit -n skip NFS mounted dirs

Cet outil fonctionne principalement sur l'analyse de signature et la vérification d'intégrité pour traquer le rootkit dans le système ou un serveur.

Utilisation de rkhunter

Alternativement, il existe un autre outil de ligne de commande pour trouver les rootkits dans les distributions Linux. C'est rkhunter . Cet outil peut également détecter les exploits à distance et les portes dérobées dans le système. Installez simplement cet outil à l'aide de la commande suivante.

 $ sudo apt-get install rkhunter

L'étape suivante consiste à exécuter le rkhunter pour détecter les portes dérobées et les rootkits.

 $ rkhunter -c

Il effectue la recherche, et le statut sera donné par défaut. S'il y a des problèmes, il les indiquera en rouge.

C'est un outil parfait pour l'analyse médico-légale car il effectue des tests de réseau supplémentaires, des vérifications de modules du noyau et d'autres tests que chrootkit ne fait pas.

Cet outil fonctionne sur l'analyse de comportement, l'analyse de signature et prend comme condition de démarrer sur différents supports pour détecter le rootkit.

Assurez-vous toujours de mettre à jour la base de données des outils chkrootkit et rkhunter avant d'effectuer l'analyse. Ce n'est qu'alors que vous pourrez détecter les derniers rootkits qui sont actuellement sortis. Pour cela, assurez-vous que votre système Linux est à jour avec les derniers correctifs à l'aide de la commande ci-dessous.

 $ sudo apt update && sudo apt upgrade

Outils de suppression des rootkits

Les applications et outils de suppression de rootkit répertoriés ci-dessous sont simples à utiliser et efficaces. Ces outils peuvent automatiquement détecter et supprimer les rootkits du système.

#1. L'outil Avast Rootkit Scanner est puissant pour détecter et supprimer les rootkits de l'analyse de la signature du système. L'analyse de vidage mémoire et la recherche de mémoire système sont quelques-unes des fonctionnalités. Ce programme assure également le suivi de tous les appels de bibliothèque DLL (Dynamic-Link Libraries) qui sont importés.

Il dispose d'un système de rapport complet qui vous permet d'afficher les résultats d'analyse actuels et antérieurs et des rapports d'alerte par e-mail après chaque analyse.

Pas seulement un ordinateur, mais vous pouvez également supprimer le rootkit d'un mobile Android ou iOS à l'aide d'Avast.

#2. Malware Bytes empêche les rootkits, adwares, spywares et autres menaces d'infecter votre ordinateur. Ce programme examine l'intégrité de la mémoire du noyau et alerte l'utilisateur de tout problème potentiel. Il vous permet d'analyser votre système à la recherche de rootkits en un seul clic. Cela aussi vous gardera en sécurité en ligne tout en assurant le bon fonctionnement de votre ordinateur.

#3. Lynis est un excellent outil d'audit de sécurité pour les systèmes Linux et BSD. Il audite en détail plusieurs éléments de la sécurité et des configurations de votre système. Lynis peut détecter les problèmes de sécurité, tels que les rootkits et les portes dérobées, ainsi que les défauts de configuration.

Au lieu de simplement identifier les failles, il fournit également des solutions telles que le fichier à supprimer et ce qu'il faut faire pour éviter la réinfection.

#4. Malware fox utilise sa bibliothèque de rootkits basée sur le cloud ; il vérifie le système pour tous les types de rootkits. Des rootkits avancés, tels que les enregistreurs de frappe, peuvent également être détectés. Il peut détecter et supprimer toutes sortes de rootkits et fermer toutes les portes dérobées que les pirates pourraient utiliser pour accéder à votre ordinateur. Sa base de données est également mise à jour régulièrement pour assurer une sécurité optimale.

#5. Sophos est un outil pratique qui détecte et supprime rapidement les rootkits. Cet outil utilise principalement l'analyse du comportement (examine le comportement de chaque fichier et application), et si un fichier ou un programme agit de la même manière que les rootkits, ils seront immédiatement supprimés. Il protège même les clés de registre et les emplacements de fichiers contre la réinfection.

Conclusion

Installez un logiciel anti-malware sophistiqué et puissant sur votre ordinateur et soyez attentif tout le temps lors de l'ouverture des pièces jointes et des e-mails inconnus. Téléchargez les fichiers et les programmes uniquement à partir de sources fiables. La meilleure protection contre les rootkits consiste à mettre en place un processus de sauvegarde automatique et crypté sur le stockage en nuage.

Si un rootkit a profondément infecté votre système, la seule façon de le supprimer est de réinstaller le système d'exploitation.

Vous pouvez également être intéressé par les outils permettant d'analyser les serveurs Linux à la recherche de logiciels malveillants et de failles de sécurité.