Distinguer Gootkit, Bootkit et Rootkit

Parallèlement au développement du monde technologique en général et d'Internet en particulier, les menaces à la sécurité « évoluent » de plus en plus, tant en termes de quantité que de niveau de danger.

Si vous êtes intéressé par le domaine de la sécurité des réseaux/sécurité de l’information, Gootkit, Bootkit et Rootkit sont probablement des concepts dont vous avez entendu parler. Alors quelle est la différence entre ces 3 concepts ? Nous le découvrirons ensemble bientôt.

Qu’est-ce que Gootkit ?

• Gootkit est un cheval de Troie découvert pour la première fois en 2014.
• Gootkit a la capacité d'infiltrer les comptes bancaires, de voler les informations de connexion et de manipuler les sessions de transactions en ligne.
• Gootkit utilise les trois modules suivants : le chargeur, le module principal et le module d'injection Web. Le Loader constitue la première étape de l’attaque, lorsque le cheval de Troie établit un environnement persistant. Le module principal créera ensuite un serveur proxy qui fonctionne en conjonction avec le module d'injection Web.
• Gootkit n'a pas de processus de propagation défini. Il utilise des e-mails de phishing, tirant parti de boîtes à outils telles que Neutrino, Angler et RIG pour se propager aux systèmes ciblés.

Que sont les rootkits ?

• Un rootkit est un logiciel informatique secret conçu pour effectuer diverses activités malveillantes, notamment le vol de mots de passe et d'informations de carte de crédit ou bancaires en ligne.
• Les rootkits peuvent également donner aux attaquants la possibilité de désactiver les logiciels de sécurité et d'enregistrer des informations au fur et à mesure que vous tapez, simplifiant ainsi le processus de vol d'informations pour les cybercriminels.
• Il existe 5 types de rootkits : les rootkits matériels ou micrologiciels, les rootkits du chargeur de démarrage, les rootkits mémoire, les rootkits, les rootkits d'application et les rootkits du noyau.
• Les rootkits peuvent profiter des e-mails de phishing et des applications mobiles infectées pour se propager dans des systèmes à grande échelle.

Qu’est-ce que le bootkit ?

• Bootkit est une forme "avancée", plus complexe et dangereuse de Rootkit, ciblant le Master Boot Record sur la carte mère physique de l'ordinateur.
• Les bootkits peuvent provoquer une instabilité du système et entraîner des erreurs « écran bleu » ou empêcher le lancement du système d'exploitation.
• Dans certains cas, un bootkit peut afficher un avertissement et exiger une rançon pour restaurer le fonctionnement normal de l'ordinateur.
• Les bootkits se propagent souvent via des disquettes et d'autres supports de démarrage. Cependant, récemment, ce code malveillant a également été enregistré pour être distribué via des logiciels de messagerie de phishing ou des données téléchargées gratuitement.

Comprendre les différences fondamentales entre ces trois agents malveillants joue un rôle très important dans la construction d'un système de défense ainsi que dans le dépannage des incidents de sécurité.