Logotipo ORSYS le mag 2025

El medio de la formación y las competencias

Inicio > Glosario de ciberseguridad > Ataque de rootkit 🔴

Ataque de rootkit 🔴

Un rootkit est un ensemble de logiciels malveillants (malware) sophistiqués conçus pour infiltrer un système informatique et y maintenir un accès privilégié (souvent au niveau administrateur ou « root ») tout en restant furtif.

Sa mission principale est de masquer sa propre présence ainsi que celle d’autres activités malveillantes (comme l’installation de virus, Caballos de Troya ou accès à distance non autorisés) en manipulant ou en détournant les fonctions normales du système d’exploitation et des applications.

 

Classification rapide

  • CATEGORÍA : 🔴 Malware
  • FRECUENCIA : 🔥🔥🔥
  • PELIGROSO : 💀💀💀💀💀
  • DIFICULTAD DE ERRADICACIÓN : 🧹🧹🧹🧹🧹

 

📌 Caractéristiques 

 

Furtivité :

  • Dissimulation avancée : modifie dynamiquement les processus, fichiers, registres et connexions réseau pour éviter d’être détecté par les antivirus et cortafuegos classiques. Par exemple, il peut masquer des processus malveillants dans le gestionnaire de tâches en interceptant les appels systèmes (technique de hooking).
  • Interception et détournement : intercepte ou altère les appels systèmes (« hooks ») et efface ou falsifie les journaux (logs) d’activité afin de masquer ses traces.

Persistance :

  • Installation profonde : s’intègre au cœur du système, pouvant infecter le noyau (kernel), les pilotes, le firmware ou même s’exécuter au niveau del’hyperviseur, pour survivre aux redémarrages et aux mises à jour.
  • Techniques d’auto-réinstallation : certains rootkits réinstallent automatiquement leurs composants en cas de tentative de suppression, ce qui complique considérablement leur éradication.

Accès privilégié et contrôle à distance :

  • Contrôle à distance : offre à un attaquant la possibilité de contrôler le système, d’exfiltrer des données, de modifier ou d’instaurer d’autres formes de malveillance (ex. : déployer des ransomware).

 

👉 Types de rootkits

 

Les rootkits se déclinent en plusieurs catégories selon leur niveau d’installation et leur mode d’opération :

User-Mode Rootkits

  • Fonctionnement : ils s’exécutent au niveau des applications. Bien qu’ils soient généralement plus faciles à détecter, ils peuvent masquer certaines activités malveillantes en interceptant les appels aux API.
  • Exemple : des rootkits utilisés dans des campagnes de suplantación de identidad qui injectent des bibliothèques malveillantes dans des processus courants.

Kernel-Mode Rootkits

  • Cómo funciona : ils infectent le noyau du système d’exploitation, modifiant en profondeur son comportement. Leur détection est très complexe car ils opèrent avec le même niveau de privilège que le système lui-même.
  • Por ejemplo: le rootkit ZeroAccess, qui opérait en kernel mode pour dissimuler un red de bots massif, reste particulièrement redouté en raison de sa capacité à intercepter les appels système.

Bootkits

  • Cómo funciona : ils ciblent le chargeur de démarrage (bootloader), tels que le Master Boot Record (MBR), pour se charger avant même l’OS, assurant une persistance même après un redémarrage.
  • Por ejemplo: le Stoned Bootkit, qui remplace le chargeur de démarrage pour intercepter les clés de codificación et persister malgré un redémarrage du système.

Rootkits Firmware

  • Cómo funciona : ils s’installent dans le firmware des périphériques (BIOS/UEFI, routeurs, disques durs), rendant leur détection et suppression particulièrement ardues.
  • Por ejemplo: Des rootkits ciblant le BIOS qui survivent à une réinstallation complète du système d’exploitation.

Hyperviseur Rootkits

  • Cómo funciona : ils exploitent la virtualisation pour se placer sous le système d’exploitation principal, interceptant ainsi les appels matériels. Leur niveau de furtivité est extrêmement élevé.
  • Por ejemplo: le concept Blue Pill, qui installe un hyperviseur malveillant sans que le système hôte ne puisse détecter la superposition.

 

🚿 Méthodes de propagation

 

Les attaquants exploitent des failles non corrigées dans les applications ou systèmes d’exploitation pour installer le rootkit.

  • Téléchargements malveillants (drive-by downloads) :

Lorsqu’un utilisateur visite un site compromis ou clique sur un lien malveillant, le rootkit peut être automatiquement téléchargé et exécuté.

  • Pièces jointes et liens frauduleux (phishing) :

Laingeniería social permet de tromper l’utilisateur afin qu’il lance un programme infecté ou divulgue des informations facilitant l’installation du rootkit.

Détection et protection

 

  • Outils spécialisés :

Utilisation d’anti-rootkits modernes (comme Rootkit Unhooker, chkrootkit ou rkhunter sur Linux) qui analysent en profondeur la mémoire, les appels système et les fichiers critiques pour détecter des anomalies.

Mise en place de systèmes de détection d’intrusion (IDS/IPS) et d’analyses comportementales qui surveillent les activités inhabituelles (par exemple, des accès répétés à des ports cachés ou une activité réseau anormale).

  • Mises à jour régulières :

L’application de correctifs de sécurité et la mise à jour continue des systèmes et logiciels permettent de réduire la surface d’attaque.

  • Contrôle d’intégrité :

Des outils vérifient régulièrement les empreintes numériques des fichiers critiques du système afin de repérer toute modification non autorisée.

  • Démarrage à partir de supports sûrs :

Utiliser des LiveCD/LiveUSB ou des solutions de boot sécurisé (Secure Boot) afin de démarrer un système sain pour analyser et nettoyer les infections.

👉 Ejemplos

 

  • Sony BMG DRM (2005) :
    Sony BMG avait intégré dans certains de ses CD un rootkit destiné à limiter la copie non autorisée. Ce rootkit, caché dans le cadre d’un système DRM, masquait ses processus et modifiait les logs, ce qui permit à des logiciels malveillants ultérieurs de s’infiltrer. L’affaire fut largement médiatisée et entraîna de nombreuses poursuites judiciaires.
  • Stuxnet (2010) :
    Stuxnet est l’un des exemples les plus célèbres de rootkit. Conçu pour infiltrer et perturber les systèmes de contrôle industriels en Iran, il utilisait des techniques de rootkit en kernel mode pour dissimuler ses actions, rendant sa détection extrêmement difficile et provoquant des dysfonctionnements critiques sur des centrifugeuses nucléaires.
  • ZeroAccess :
    Ce rootkit a infecté des millions d’ordinateurs en masquant un botnet dans le kernel du système. Il permettait aux attaquants de lancer des attaques DDoS et d’exécuter des tâches de minage de cryptomonnaie, tout en restant caché grâce à des techniques de hooking sophistiquées.

Évolutions récentes

 

Les techniques de rootkits continuent d’évoluer pour contourner les mesures de sécurité modernes :

  • Rootkits basés sur l’hyperviseur : tels que Blue Pill, qui permettent d’intercepter l’ensemble des appels matériels en se plaçant en dessous du système d’exploitation.
  • Rootkits dans le firmware : exploitant des vulnérabilités dans le BIOS/UEFI ou dans les périphériques pour garantir une persistance quasi indétectable.
  • Approches hybrides : combinant plusieurs techniques (kernel, firmware et application) pour contourner la détection par les solutions de sécurité traditionnelles.
Volver al glosario

ámbito de formación

Ciberseguridad

formación asociada

Seguridad de sistemas y redes, nivel 1

Hacking y seguridad, nivel 1

Seguridad de los sistemas de información, resumen

MEJOR

Hacia la ORSYS Cyber Academy: un espacio gratuito dedicado a la ciberseguridad