Windows NDIS Rootkit Bl4me

Auteurs
Par
Ivanlef0u


Résumé

Cet article a pour but de décrire dans un premier temps l’état de l’art des différentes techniques de développement de rootkits sous Windows. Dans un second temps, nous verrons des techniques de furtivités et de contournement de firewall au niveau NDIS (Network Driver Interface Specification) relativement nouvelles.


1. Historique

L’engouement pour les rootkits sous Windows n’est plus à démontrer. Il suffit de regarder les analyses de malwares des sites antivirus (Symantec, McAfee) pour voir que la plupart possèdent dorénavant des techniques de furtivité. Ces trois dernières années le développement de ces méthodes a été multiplié par six en même temps que la complexité des rootkits [1].

La faute en incombe certainement au besoin croissant des auteurs de malwares de contourner les antivirus, afin que leurs programmes puissent effectuer leurs malveillantes opérations en toute tranquillité. Au départ, ces techniques de furtivité (comme l’API hooking via IAT ou par Inline hook) étaient user-land et provenaient du monde des virus. Les techniques kernel-land, elles, se sont surtout développées grâce à l’agrandissement de la communauté « rootkit », l’ouverture de sites comme rootkit.com, l…

La suite est réservée aux abonnés. Il vous reste 98% à découvrir.
  • Accédez à tous les contenus de Connect en illimité
  • Découvrez des listes de lecture et des contenus Premium
  • Consultez les nouveaux articles en avant-première
Envie de lire la suite ? Rejoignez Connect
Je m'abonne maintenant


Article rédigé par

Ivanlef0u

Ivanlef0u
3 articles

Par le(s) même(s) auteur(s)

Plus d'article de cet auteur

Vulnérabilité MS10-061 dans le printer spooler de Windows

Magazine
Marque
MISC
Numéro
53
Mois de parution
janvier 2011
Auteurs
Par
Ivanlef0u
Spécialité(s)
Exploit
Sécurité système
Résumé

Le worm Stuxnet [1] a récemment fait trembler le monde de la sécurité informatique. D'une complexité étonnante, visant des objectifs industriels majeurs, ce ver n'hésite pas à utiliser de nouvelles vulnérabilités dans Windows pour se propager (4 0days connus). L'une d'entre elles, aujourd'hui corrigée, concerne le partage d'imprimantes réseau et le « spooler » sous Windows.

Lire l'article

Les listes de lecture

Sécurité Windows : Active Directory

11 article(s) - ajoutée le 01/07/2020
Sécurité réseau
Clé de voûte d'une infrastructure Windows, Active Directory est l'une des cibles les plus appréciées des attaquants. Les articles regroupés dans cette liste vous permettront de découvrir l'état de la menace, les attaques et, bien sûr, les contre-mesures.

Sécurité des mobiles

8 article(s) - ajoutée le 13/10/2020
Mobilité Sécurité système
Découvrez les méthodologies d'analyse de la sécurité des terminaux mobiles au travers d'exemples concrets sur Android et iOS.

Cryptographie appliquée

10 article(s) - ajoutée le 13/10/2020
Crypto
Vous retrouverez ici un ensemble d'articles sur les usages contemporains de la cryptographie (whitebox, courbes elliptiques, embarqué, post-quantique), qu'il s'agisse de rechercher des vulnérabilités ou simplement comprendre les fondamentaux du domaine.
Plus de listes de lecture