Un rootkit est un programme ou une combinaison de programmes malveillants, dont l'objectif est de maintenir un contrôle permanent et indétectable sur une machine cible.

Un rootkit vous l'aurez compris est donc un outils utilisé principalement par lespirates(hackers) en vu d' exploiter des ressources sur un système distant et cela de façon la plus transparente possible, surtout à l'insu des administrateurs dudit système.

L'utilisation règlementée des rootkit existe également, principalement en ce qui concerne la lutte contre la cyber criminalitée.



La première génération :

Les rootkits ont fait leur apparition au début des années 1990 quand les hackers se sont mis à contruire des kits ayants pour objectifs de les aider à asseoir leur contrôle sur des machines qu'ils avaient infiltré. Il s'agissait alors de la première génération de rootkits.

Ces kits étaient généralement crées pour les systèmes unix alors plus nombreux sur la toile(internet).
Les hackers après avoir réalisé un exploit, c'est à dire après avoir utilisé avec succès une faille découverte dans un logiciels utilisé par la machine cible, ou une faille directement présente dans le système d'exploitation de celle ci, et avoir ainsi obtenu un accès "root" c'est à dire un accès en mode administrateur lui conférent ainsi tous les droits, pouvait alors installer son kit afin de pouvoir de nouveau obtenir un accès administrateur par la suite sans avoir à réaliser un nouvel exploit.

Alors, comment ce programme installé lui permettait-il de se réaproprier ses droits d'accès si dévastateur, sans difficultées, et en plus avec transparence?
En trafiquant les commandes systèmes!
En modifiant la commande "ls" qui permet de lister le contenu d'un répertoire ou en la remplaçant par une version modifiée, il leur est possible de rendre invisible certains dossiers ou certains fichiers.
Et d'autres commandes comme "netstat" qui liste l'état des ports sur notre machine permettent une fois modifiées de masquer certains ports afin de pouvoir ouvrir des canaux de communication sur la machine cible. Les modifications sur la commande "ps" permettaient de cacher des processus actif.
On commence alors à réaliser le danger que représentaient ces kits qui permettaient de rendre aveugle l'administrateur ou les utiliseurs d'un système.


Heureusement, ce genre de manipulations ont pu au bout d'un certain temps être détectées et éradiquées, grâce notamment à des outils comme Tripwire qui surveille les changement intervenant sur les binaires desdites commandes.



La deuxième génération :

Cependant ne nous réjouissons pas trop vite, car nous en somme aujourd'hui à la troisième génération de rootkits.

Une fois que les administrateurs ont réussi à protéger les binaires des commandes de leurs systèmes, les hackers ont développé une deuxièmen générations de kits, s'attaquant cette fois ci aux bibliothèques partagées utilisés par les commandes systèmes. Une fois ces bibliothèques corrompues, le comportement de certaines commandes était alors modifié aboutissant ainsi au même résultat que la première génération.


La troisième génération :

Une fois la seconde aisément détecté par les administrateurs, la troisième génération à vu le jour, s'attaquant alors directement au noyau. C'est principalement
sur celle-ci que nous nous attarderons durant cet article.



Vous l'aurez compris le principe de fonctionnement des rootkits consiste en la modification d'éléments important du système, comme des fichiers de commande, des librairies ou encore dans le cas le plus extrême en une modification du comportement du noyau via des modules.