Gootkit est un logiciel malveillant de type cheval de Troie/backdoor avec exécution fileless.
La charge virale est injectée dans plusieurs processus légitimes (explorer, svchost, iexplorer etc..) , et chargée au démarrage par une clé de registre RUN. Le malware se loge dans le système via une clé registre lançant du code javascript pour injecter une charge contenue elle aussi dans un autre élément du registre.
Le malware lui-même réside dans un processus svchost détourné. La charge utile est injectée dans certains processus légitimes (dont explorer.exe) dans une section exécutable, en dehors de tout module. Elle peut être trouvée en regardant les sections avec des droits E/X, mais sans DLL physique. Une fois la charge utile chargée dans un processus, elle accroche plusieurs API, notamment NtDeviceIoControlFile, DNSQuery et RtlPcToFileHeader.
Détection
Il est possible détecter la charge malveillante en cherchant dans le registre les valeurs suivantes :
<hta:application showintaskbar=no><script>eval(new ActiveXObject('WScript.Shell').RegRead('if (!FileExists(DefaultDir+"dynwrapx.sxs.manifest")) UnpackResource("dynwrapx.sxs.manifest"
Remédiation
- Suppression des clés de registre relatives ( Ceci doit être fait en mode sans echec et terminé par un redémarrage)
- Il est également possible d’ajouter une GPO temporaire pour interdire mshta.
