Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
MaisonBootkits : évolution et méthodes de détection
Les cybercriminels sont constamment à la recherche de nouveaux moyens de s'implanter à long terme dans le système cible avec des privilèges maximaux, tout en évitant d'être détectés, par exemple, par des outils antivirus. La plupart des outils de protection sont démarrés avec le système d'exploitation, donc si un logiciel malveillant se charge avant le système d'exploitation, la probabilité de détection diminue. Un autre objectif des développeurs de logiciels malveillants est de conserver le contrôle et les privilèges après la réinstallation du système d'exploitation. Cela nécessite que le malware soit chargé dans un logiciel de bas niveau : le micrologiciel de l'appareil ou les premiers secteurs du disque dur. C'est ainsi qu'apparaissent les bootkits.
Un bootkit est un code malveillant qui s'exécute avant le démarrage du système d'exploitation. L'objectif principal d'un bootkit est de prendre pied dans le système et de protéger les autres logiciels malveillants de la détection par les outils de sécurité.
Réel ou conceptuel ?
On pensait auparavant que les bootkits existaient principalement en preuve de concept. Une preuve de concept (PoC) est une démonstration de l'exploitabilité d'une vulnérabilité. forme, et non utilisé dans des attaques réelles. Cependant, seulement deux ans séparent l’apparition du premier PoC et de la première attaque de bootkit.
Les PoC Bootkit sont particulièrement intéressants pour les analystes et les chercheurs car ils donnent un aperçu des méthodes et techniques que les attaquants sont susceptibles d'utiliser et de ce qu'il faut rechercher pour fournir une protection préventive.
Les développeurs de logiciels malveillants ajoutent désormais des fonctionnalités de bootkit à leurs créations, notamment Satana, Petya et divers botnets, tels que TrickBot. Les groupes APT sont également des utilisateurs actifs de bootkits, par exemple Careto, Winnti (APT41), FIN1 et APT28.
Lors de la préparation de ce rapport, nous avons analysé 39 familles de bootkits, à la fois sous forme de PoC et rencontrées lors d'attaques réelles de 2005 à 2021.
Les cybercriminels ont généralement recours au phishing ciblé par courrier électronique pour injecter des logiciels malveillants dans l'infrastructure ; c'est ainsi que sont distribués, par exemple, les bootkits Mebromi et Mosaic Regressor. Une autre voie de transmission consiste à passer par des sites Web, y compris la technique de compromission drive-by, qui a été utilisée pour infecter des cibles avec les logiciels malveillants Pitou et Mebroot ; les cybercriminels qui distribuaient ces derniers ont piraté plus de 1 500 ressources Web et y ont placé le malware. Le bootkit FispBoot a été introduit sur les appareils qui ont été infectés pour la première fois par le cheval de Troie Trojan-Downloader.NSIS.Agent.jd, que les victimes ont téléchargé sous couvert d'un clip vidéo.
La différence entre un bootkit et un rootkit
Les bootkits sont souvent confondus avec les rootkits. Un rootkit est un programme (un ensemble de programmes) permettant de dissimuler la présence de logiciels malveillants dans le système. . La principale différence est que les bootkits commencent à fonctionner avant même le démarrage du système d'exploitation. Ils ont le même niveau de contrôle que les chargeurs légitimes (Master Boot Record (MBR), Volume Boot Record (VBR) ou UEFI) et interfèrent avec le processus de démarrage du système d'exploitation, leur permettant de surveiller et de modifier le processus de démarrage, ainsi que d'introduire , par exemple, un code malveillant, contournant les mécanismes de sécurité. Les bootkits créent souvent un environnement propice à l'introduction furtive de rootkits au niveau du noyau.
Le Master Boot Record (MBR) contient les informations et le code nécessaires pour démarrer correctement le périphérique. Il est stocké dans les premiers secteurs du disque dur. Le Volume Boot Record (VBR) ou le Initial Program Loader (IPL) charge les données nécessaires au démarrage du système d'exploitation. Il est stocké dans le premier secteur d'une partition du disque dur.
Fonctionnalités du kit de démarrage
Le plus souvent, les bootkits ont les fonctionnalités suivantes :
Certains bootkits permettent aux attaquants de contourner l'authentification ; les PoC des bootkits Vbootkit x64 et DreamBoot, par exemple, ont cette capacité.
Les bootkits comme outils pour des attaques hautement ciblées
Développer son propre bootkit n'est pas une tâche triviale pour un attaquant, mais dans la vraie vie, les bootkits sont assez courants. Par exemple, des attaquants espionnant des diplomates et des membres d’organisations non gouvernementales d’Afrique, d’Asie et d’Europe ont utilisé le bootkit Mosaic Regressor pour prendre pied dans les systèmes cibles. Après avoir analysé une attaque à l'aide d'un autre bootkit de pointe, MoonBounce, les chercheurs ont été étonnés par la connaissance approfondie des attaquants de l'infrastructure informatique de la victime. Ils ont constaté que les attaquants avaient étudié minutieusement le micrologiciel de l’appareil, ce qui suggère qu’il s’agissait d’une attaque très ciblée.