Les rootkits de troisième génération, tels FU, He4Hook, Klog, Adore, Suckit, utilisent les techniques DKOM (Direct Kernel Object Manipulation) pour manipuler les objets en mémoire physique. Ces rootkits agissent en mode noyau.
Lors du BlackHat 2005, James Butler et Sherri Sparks ont présenté Shadow Walker, un prototype de rootkit - dit de quatrième génération - qui manipule directement les pages de la mémoire physique : un rootkit non-persistant.
Ces rootkits ont en commun de résider et d'agir uniquement en mémoire physique, afin d'éviter les détections des antivirus et de contrer les techniques forensiques traditionnelles. Ils se font ainsi une spécialité de manipuler les objets en mémoire ou directement les pages mémoires (quatrième génération).
La question du jour est la suivante :
Doit-on abandonner les procédures forensiques traditionnelles et s'investir entièrement dans le live forensique pour résoudre les incidents de sécurité informatique ?
En 2005, trois évènements ont boosté l'analyse des dumps de mémoire physique des systèmes MS Windows :
- Chris Betz a publié memParser un outil qui énumère les processus actifs et peut également réaliser un dump de leur pages mémoires.
- George M. Garner Jr. et Robert-Jan Mora ont publié kntlist qui est une liste conséquente de processus, thread et autres objets nécessaires à l'analyse d'un dump mémoire des systèmes MS Windows.
- Mariusz Burdch a publié une extension pour le débogueur noyau de Windows : hidden.dll qui permet d'énumérer les processus camouflés et pourtant présents dans un dump mémoire.
Des outils d'investigation de la mémoire physique, notamment de celle des systèmes MS Windows, sont en court d'élaboration. Ces outils vont nous permettre de détecter et prouver la présence des derniers codes malveillants en circulation.
Le meilleur outil dont nous disposons actuellement pour collecter la mémoire physique d'un système non préparé, est dd de George Garner Jr. Cet outil n'est pas transparent du point de vue forensique, car il a besoin d'être chargé en mémoire pour fonctionner. Mais c'est le lot de tous les outils utilisés dans une investigation live.
Cependant, la lecture d'un article, datant de quelques mois, m'a fait réfléchir. La deuxième question du jour est la suivante :
dd peut-il devenir notre point faible, par l'utilisation qu'il fait de l'API Windows MapViewOfFile ?
L'article en question a été rédigé par le suédois Arne Vidstrom et est disponible sur son site ntsecurity.nu. Ce chercheur en sécurité informatique a ainsi développé un driver sous Windows XP pour bloquer dd sous certaines conditions. Un code malveillant qui exploite cette faiblesse de dd n'est donc pas irréalisable !
En attendant, le live forensique nous permet d'analyser des incidents à distance de manière très satisfaisante, bien que je ne connaisse personne, en France, ayant eu à présenter une analyse de la mémoire physique devant un tribunal...
De toute manière, avec la généralisation des disques durs de plusieurs teraoctets, les systèmes de fichiers chiffrés, les clés USB bon marché dépassant le gigaoctet de stockage, le forensique traditionnel est condamné à mort. Mais bon, c'est son domaine après tout !!
Lors du BlackHat 2005, James Butler et Sherri Sparks ont présenté Shadow Walker, un prototype de rootkit - dit de quatrième génération - qui manipule directement les pages de la mémoire physique : un rootkit non-persistant.
Ces rootkits ont en commun de résider et d'agir uniquement en mémoire physique, afin d'éviter les détections des antivirus et de contrer les techniques forensiques traditionnelles. Ils se font ainsi une spécialité de manipuler les objets en mémoire ou directement les pages mémoires (quatrième génération).
La question du jour est la suivante :
Doit-on abandonner les procédures forensiques traditionnelles et s'investir entièrement dans le live forensique pour résoudre les incidents de sécurité informatique ?
En 2005, trois évènements ont boosté l'analyse des dumps de mémoire physique des systèmes MS Windows :
- Chris Betz a publié memParser un outil qui énumère les processus actifs et peut également réaliser un dump de leur pages mémoires.
- George M. Garner Jr. et Robert-Jan Mora ont publié kntlist qui est une liste conséquente de processus, thread et autres objets nécessaires à l'analyse d'un dump mémoire des systèmes MS Windows.
- Mariusz Burdch a publié une extension pour le débogueur noyau de Windows : hidden.dll qui permet d'énumérer les processus camouflés et pourtant présents dans un dump mémoire.
Des outils d'investigation de la mémoire physique, notamment de celle des systèmes MS Windows, sont en court d'élaboration. Ces outils vont nous permettre de détecter et prouver la présence des derniers codes malveillants en circulation.
Le meilleur outil dont nous disposons actuellement pour collecter la mémoire physique d'un système non préparé, est dd de George Garner Jr. Cet outil n'est pas transparent du point de vue forensique, car il a besoin d'être chargé en mémoire pour fonctionner. Mais c'est le lot de tous les outils utilisés dans une investigation live.
Cependant, la lecture d'un article, datant de quelques mois, m'a fait réfléchir. La deuxième question du jour est la suivante :
dd peut-il devenir notre point faible, par l'utilisation qu'il fait de l'API Windows MapViewOfFile ?
L'article en question a été rédigé par le suédois Arne Vidstrom et est disponible sur son site ntsecurity.nu. Ce chercheur en sécurité informatique a ainsi développé un driver sous Windows XP pour bloquer dd sous certaines conditions. Un code malveillant qui exploite cette faiblesse de dd n'est donc pas irréalisable !
En attendant, le live forensique nous permet d'analyser des incidents à distance de manière très satisfaisante, bien que je ne connaisse personne, en France, ayant eu à présenter une analyse de la mémoire physique devant un tribunal...
De toute manière, avec la généralisation des disques durs de plusieurs teraoctets, les systèmes de fichiers chiffrés, les clés USB bon marché dépassant le gigaoctet de stockage, le forensique traditionnel est condamné à mort. Mais bon, c'est son domaine après tout !!
Articles
Aucun commentaire:
Enregistrer un commentaire