La nouvelle version de TrickBot peut altérer le firmware UEFI BIOS
Telechargé par
ciel33
publicité
Poste de travail Mobilité Cybersécurité Réseaux et télécom Transfo numérique Cloud Computing Logiciel
Gestion des données Partenaires
Accueil >News >Cyberattaque
La nouvelle version de TrickBot peut altérer le
firmware UEFI/BIOS
Sécurité : Cette nouvelle fonctionnalité de TrickBot inquiète les chercheurs en sécurité. Elle
pourrait permettre au logiciel malveillant de survivre après une réinstallation de la machine
infectée.
Par Catalin Cimpanu | Modifié le jeudi 03 déc. 2020 à 19:00
Les opérateurs du botnet de logiciels malveillants TrickBot ont ajouté une nouvelle fonctionnalité
qui leur permet d'interagir avec le BIOS ou le firmware UEFI d'un ordinateur infecté.
Cette nouvelle capacité a été repérée dans une partie d'un nouveau module TrickBot, vu pour la
première fois fin octobre, précisent les sociétés de sécurité Advanced Intelligence et Eclypsium
dans un rapport conjoint publié ce jeudi.
Ce nouveau module inquiète les chercheurs en sécurité car ses caractéristiques permettraient au
malware TrickBot de s'implanter de manière persistante sur les systèmes infectés. Cette
persistance pourrait permettre au malware de survivre aux réinstallations du système
d'exploitation.
publicité
Des conséquences qui pourraient s'aggraver
En outre, AdvIntel et Eclypsium affirment que les fonctionnalités du nouveau module pourraient
être utilisées pour d'autres but que la simple persistance du logiciel malveillant, comme par
exemple :
le déni de service à distance d'un appareil au niveau du firmware via une connexion à distance
d'un logiciel malveillant ;
le contournement des contrôles de sécurité comme BitLocker, ELAM, Windows 10 Virtual
Secure Mode, Credential Guard, les contrôles de protection des terminaux comme les
antivirus, EDR, etc. ;
la mise en place d'une attaque qui cible les vulnérabilités Intel CSME, dont certaines
nécessitent un accès flash SPI ;
la
rédaction
de ZDNet
le reverse engineering des mises à jour ACM ou du firmware, qui corrigent des vulnérabilités
du CPU comme Spectre, MDS, etc.
Mais la bonne nouvelle est que « jusqu'à présent, le module TrickBot ne fait que vérifier le
contrôleur SPI pour voir si la protection en écriture du BIOS est activée ou non, et n'a pas été vu
en train de modifier le firmware lui-même », rassurent AdvIntel et Eclypsium. « Cependant, le
malware contient déjà du code pour lire, écrire et effacer le firmware. »
Rester dans des réseaux infectés
Les chercheurs affirment que même si la fonctionnalité n'a pas encore été mise en œuvre, le fait
que le code soit présent à l'intérieur de TrickBot suggère que ses créateurs prévoient de l'utiliser
dans certains scénarios. Parmi les scénarios envisagés, les réseaux de grandes entreprises où le
groupe TrickBot ne veut pas perdre l'accès et peut vouloir laisser derrière lui un mécanisme de
persistance.
Ce module pourrait également être utilisé dans le cadre d'attaques au rançongiciel, dans
lesquelles le gang TrickBot est souvent impliqué en vendant l'accès à son réseau d'appareils
compromis à des groupes de ransomware.
Image : AdvIntel.
Dans le cas où des entreprises dont les réseaux ont été chiffrés refuseraient de payer, le module
TrickBot pourrait être utilisé pour détruire leurs systèmes, selon AdvIntel et Eclypsium.
Le module pourrait également être utilisé pour empêcher les équipes de réponse à incident de
trouver des preuves importantes et cruciales en paralysant la capacité de démarrage d'un
système. « Les possibilités sont presque illimitées », affirment AdvIntel et Eclypsium, en
soulignant les nombreux domaines dans lesquels TrickBot aide également ses affiliés à opérer.
Image : AdvIntel.
Une fonctionnalité basée sur un code accessible au public
L'ajout de cette nouvelle fonctionnalité au code de TrickBot marque également la première fois
que les capacités de modification UEFI/BIOS sont identifiées dans des réseaux botnet
cybercriminels communs.
Avant la découverte de ce nouveau module, les seules souches de logiciels malveillants connues
capables d'altérer les firmware UEFI ou BIOS étaient LoJax ou MosaicRegressor. Ces deux
souches de logiciels malveillants ont été développées par des groupes de piratage soutenus par
des gouvernements – LoJax par des acteurs russes et MosaicRegressor par des acteurs chinois.
Mais, selon Eclypsium, société spécialisée dans la sécurité des firmwares, le groupe TrickBot n'a
pas développé son code à partir de zéro. Son analyse suggère que le gang a plutôt adapté du
code disponible publiquement pour en faire un module spécialisé qu'il pourrait installer sur les
systèmes infectés via le loader TrickBot.
« Plus précisément, TrickBot utilise le pilote RwDrv.sys, du populaire outil RWEverything, afin
d'interagir avec le contrôleur SPI pour vérifier si le registre de contrôle du BIOS est déverrouillé et
si le contenu de la région du BIOS peut être modifié », détaille Eclypsium.
« RWEverything est un outil puissant qui peut permettre à un attaquant d'écrire dans le firmware
de pratiquement n'importe quel composant de l'appareil, y compris le contrôleur SPI qui régit le
système UEFI/BIOS », ajoute Eclypsium. « Cela peut permettre à un attaquant d'écrire du code
malveillant dans le firmware du système, garantissant que le code de l'attaquant s'exécute avant
le système d'exploitation tout en cachant le code à l'extérieur des lecteurs du système. »
Une nouvelle fonctionnalité après un démantèlement raté
Articles relatifs
Cette nouvelle mise à jour du logiciel malveillant Trickbot rend la détection encore plus difficile
30/05/2020
Mais il faut aussi prendre note du moment choisi pour l'apparition de cette nouvelle fonctionnalité
de TrickBot. Celle-ci survient au moment où TrickBot revient lentement à la vie après une tentative
de démantèlement ratée.
Au cours des dernières semaines, les opérations de TrickBot ont connu une vague de mises à
jour, incluant de nouvelles techniques d'obscurcissement du code, une nouvelle infrastructure de
commande et de contrôle, et de nouvelles campagnes de spam.
Toutes ces mises à jour visent à relancer et à renforcer l'une des plus grandes opérations
cybercriminelles. A son apogée, le botnet Trickbot contrôlait plus de 40 000 ordinateurs infectés
chaque jour.
Sherrod DeGrippo, directrice principale pour la recherche et la détection des menaces chez
Proofpoint, rapporte à ZDNet que Proofpoint « n'a pas observé de changement significatif dans
les volumes Trick malgré les opérations de perturbation menées par le Cyber Command
américain et la coalition dirigée par Microsoft ».
Pour l'instant, TrickBot semble avoir survécu à la tentative de démantèlement, mais il revient à la
vie avec des caractéristiques plus puissantes qu'auparavant. « Chaque acteur réagit différemment
aux changements dans son environnement opérationnel », ajoute-t-elle. « TrickBot a démontré
que son botnet est capable de résister aux actions des gouvernements et des fournisseurs de
sécurité ; cependant, il n'est pas à l'abri de futures perturbations. Nous prévoyons une évolution
vers une plus grande rapidité de changement d'infrastructure et de mise à jour des logiciels
malveillant à l'avenir. »
Source : ZDNet.com
A lire aussi :
Vidéo : coup d’arrêt pour le botnet Trickbot
FS-ISAC, ESET, Black Lotus Labs de Lumen, NTT, Symantec et l’équipe Microsoft Defender ont participé au démantèlement de...
Par Catalin Cimpanu | Modifié le jeudi 03 déc. 2020 à 19:00
Sujet: Cyberattaque
Cyberattaque Cybercriminalité
Cybercriminalité Cybersécurité
Cybersécurité Suivre via:
la
Vidéo : coup d’arrêt pour
le botnet Trickbot
Cette
nouvelle
mise à jour
du logiciel
rédaction
de ZDNet
10 ans de malwares : les pires botnets des années 2010 (suite)
12/12/2019
Ransomware : Ces logiciels malveillants ouvrent la voie aux attaquants
20/11/2020
TousAntiCovid : Un phishing imite le SMS gouvernemental
04/12/2020
Contenus partenaires
Echangez avec les experts HP sur les essentiels du télétravail et inscrivez vous pour participer au HP Talks 2020.
Tab Active 3, une tablette par et pour les pros
inmac wstore, votre partenaire à valeur ajoutée, fournit tous les services autour de Microsoft 365.
Black Friday, c’est aussi pour les pros !
Contenus sponsorisés
Réagissez à l'article
Connectez vous ou Enregistrez-vous pour rejoindre la discussion
Inquiétant
Inquiétant
shooby
shooby
4 décembre, 2020 12:28
4 décembre, 2020 12:28
Mi¢ro$oft, étant l'un des principaux promoteurs du UEFI, je ne suis pas surpris de cela.
Mi¢ro$oft, étant l'un des principaux promoteurs du UEFI, je ne suis pas surpris de cela.
En fait, c'est le temps pris pour découvrir cette faille qui a de quoi surprendre.
En fait, c'est le temps pris pour découvrir cette faille qui a de quoi surprendre.
Quels dommages ont été accomplis depuis 14 ans alors que le UEFI se répand partout?
Quels dommages ont été accomplis depuis 14 ans alors que le UEFI se répand partout?
Quels seront les dommages quand le UEFI sera utilisé en masse?
Quels seront les dommages quand le UEFI sera utilisé en masse?
Yveslegault
Yveslegault
4 décembre, 2020 16:46
4 décembre, 2020 16:46
2
réponses
10 ans de
malwares :
Ransomware :
Ces
TousAntiCovid :
Un
Echangez
Tab Active
inmac
Black
les pires
botnets
logiciels
malveillants
phishing
imite le
avec les
experts HP
3, une
tablette par
wstore,
votre
Friday,
c’est aussi
6
7
8
1
/
8
100%
