La nouvelle version de TrickBot peut altérer le firmware UEFI/BIOS

Spread the love
La nouvelle version de TrickBot peut altérer le firmware UEFI/BIOS

Les opérateurs du botnet de logiciels malveillants TrickBot ont ajouté une nouvelle fonctionnalité qui leur permet d’interagir avec le BIOS ou le micrologiciel UEFI d’un ordinateur infecté.

Cette nouvelle capacité a été repérée dans une partie d’un nouveau module TrickBot, vu pour la première fois fin octobre, ont déclaré les sociétés de sécurité Advanced Intelligence et Eclypsium dans un rapport conjoint publié aujourd’hui.

publicité

Ce nouveau module inquiète les chercheurs en sécurité car ses caractéristiques permettraient au malware TrickBot de s’implanter de manière persistante sur les systèmes infectés. Cette persistance pourrait permettre au malware de survivre aux réinstallations du système d’exploitation.

En outre, AdvIntel et Eclypsium affirment que les fonctionnalités du nouveau module pourraient être utilisées pour d’autres but que la simple persistance du logiciel malveillant, comme par exemple

  • Le déni de service à distance d’un appareil au niveau du firmware via une connexion à distance d’un logiciel malveillant.
  • Le contournement des contrôles de sécurité tels que BitLocker, ELAM, Windows 10 Virtual Secure Mode, Credential Guard, les contrôles de protection des terminaux comme les antivirus, EDR, etc.
  • Mise en place d’une attaque qui cible les vulnérabilités Intel CSME, dont certaines nécessitent un accès flash SPI.
  • Reverse engineering des mises à jour ACM ou du firmware qui corrigent des vulnérabilités du CPU comme Spectre, MDS, etc.

Mais la bonne nouvelle est que “jusqu’à présent, le module TrickBot ne fait que vérifier le contrôleur SPI pour voir si la protection en écriture du BIOS est activée ou non, et n’a pas été vu en train de modifier le firmware lui-même” expliquent AdvIntel et Eclypsium.

“Cependant, le malware contient déjà du code pour lire, écrire et effacer le firmware“, ont ajouté les deux sociétés.

Les chercheurs affirment que même si la fonctionnalité n’a pas encore été mise en œuvre, le fait que le code soit présent à l’intérieur de TrickBot suggère que ses créateurs prévoient de l’utiliser dans certains scénarios.

Les scénarios envisagés peuvent inclure les réseaux de grandes entreprises où le groupe TrickBot ne veut pas perdre l’accès et peut vouloir laisser derrière lui un mécanisme de persistance.

Ce module pourrait également être utilisé dans le cadre d’attaques au rançongiciel, dans lesquelles le gang TrickBot est souvent impliqué en vendant l’accès à son réseau d’appareils compromis à des groupes de ransomware.

trickbot-ransomware.png

Image : AdvIntel

Dans le cas où des entreprises dont les réseaux ont été chiffrés refuseraient de payer, le module TrickBot pourrait être utilisé pour détruire leurs systèmes, selon AdvIntel et Eclypsium.

Le module pourrait également être utilisé pour empêcher les équipes de réponse à incident de trouver des preuves importantes et cruciales en paralysant la capacité de démarrage d’un système.

“Les possibilités sont presque illimitées”, ont déclaré AdvIntel et Eclypsium, en soulignant les nombreux domaines dans lesquels TrickBot aide également ses affiliés à opérer.

trickbot-enterprise.png

Image : AdvIntel

Une fonctionnalité basée sur un code accessible au public

L’ajout de cette nouvelle fonctionnalité au code de TrickBot marque également la première fois que les capacités de modification UEFI/BIOS sont identifiées dans des réseaux botnet cybercriminels communs.

Avant la découverte de ce nouveau module, les seules souches de logiciels malveillants connues capables d’altérer les firmware UEFI ou BIOS étaient LoJax ou MosaicRegressor.

Ces deux souches de logiciels malveillants ont été développées par des groupes de piratage soutenus par des gouvernements – LoJax par des acteurs russes et MosaicRegressor par des chinois.

Mais selon Eclypsium, société spécialisée dans la sécurité des firmware, le groupe TrickBot n’a pas développé son code à partir de zéro. Son analyse suggère que le gang a plutôt adapté du code disponible publiquement pour en faire un module spécialisé qu’il pourrait installer sur les systèmes infectés via le loader TrickBot.

“Plus précisément, TrickBot utilise le pilote RwDrv.sys du populaire outil RWEverything afin d’interagir avec le contrôleur SPI pour vérifier si le registre de contrôle du BIOS est déverrouillé et si le contenu de la région du BIOS peut être modifié”, a déclaré Eclypsium.

“RWEverything est un outil puissant qui peut permettre à un attaquant d’écrire dans le firmware de pratiquement n’importe quel composant de l’appareil, y compris le contrôleur SPI qui régit le système UEFI/BIOS”, a déclaré Eclypsium. “Cela peut permettre à un attaquant d’écrire du code malveillant dans le firmware du système, garantissant que le code de l’attaquant s’exécute avant le système d’exploitation tout en cachant le code à l’extérieur des lecteurs du système”.

Une nouvelle fonctionnalité après un démantèlement raté

Mais il faut aussi prendre note du moment choisi pour l’apparition de cette nouvelle fonctionnalité de TrickBot. Celle ci survient au moment où TrickBot revient lentement à la vie après une tentative de démantèlement ratée.

Au cours des dernières semaines, les opérations de TrickBot ont connu une vague de mises à jour, incluant de nouvelles techniques d’obscurcissement du code, une nouvelle infrastructure de commande et de contrôle, et de nouvelles campagnes de spam.

Toutes ces mises à jour visent à relancer et à renforcer l’une des plus grandes opérations cybercriminelles. À son apogée, le botnet Trickbot contrôlait plus de 40 000 ordinateurs infectés chaque jour.

Sherrod DeGrippo, directrice principale pour la recherche et la détection des menaces chez Proofpoint, a déclaré à ZDNet que Proofpoint “n’avait pas observé de changement significatif dans les volumes Trick malgré les opérations de perturbation menées par le Cyber Command américain et la coalition dirigée par Microsoft“.

Pour l’instant, TrickBot semble avoir survécu à la tentative de démantèlement, mais il revient à la vie avec des caractéristiques plus puissantes qu’auparavant.

“Chaque acteur réagit différemment aux changements dans son environnement opérationnel”, a ajouté DeGrippo.

“TrickBot” a démontré que son botnet est capable de résister aux actions des gouvernements et des fournisseurs de sécurité ; cependant, il n’est pas à l’abri de futures perturbations. Nous prévoyons une évolution vers une plus grande rapidité de changement d’infrastructure et de mise à jour des logiciels malveillant à l’avenir”.

Source : “ZDNet.com”

Leave a Reply