SOLUTIONS
icon
JIZÔ NDR
JIZÔ ALERT ADVISOR (IA)
JIZÔ FOR OT
icon
HOSHI
icon
LOKI
SOCIÉTÉ
icon
SOCIETE
icon
ON RECRUTE
icon
CONTACT
SUBSCRIBE
ACTUS
BLOG
icon
PRESSE
icon
AGENDA
PARTENAIRES
REVENDEURS ET DISTRIBUTEURS
PARTENAIRES TECHNOLOGIQUES
RESSOURCES
icon
DOSSIERS ET LIVRES BLANCS
WEBINAIRES
CONTACT
GET A DEMO

LUMIÈRE SUR LE DEEP(MAL)WARE : À LA CHASSE A L’UEFI BOOTKIT !

S’il est universellement admis qu’il y a trois piliers de l’état de cybersécurité : Confidentialité – Intégrité – Disponibilité, la confidentialité est celui qui concentre le plus les flashs et paillettes car les événements qui se rapportent, soit à sa préservation, soit à sa rupture sont souvent les plus spectaculaires… et pour ma part fascinants ! La confidentialité est fondée sur la notion plus fondamentale du secret, du caché. Et tant dans la cyberdéfense que de la cyberoffense, du côté des acteurs de la menace ou des acteurs de la protection des actifs, le caractère secret d’une information ou d’une activité donne lieu à un florilège semblant inépuisable de techniques ou d’événements.

 

VIVRE CACHÉ POUR VISER HEUREUX

 

Le fait de rester caché pour l’acteur de la menace se spécialise, entre autres choses, dans les tactiques Persistence ou Defensive Evasion proposées par le référentiel MITRE ATT&CK. Ces tactiques sont des objectifs de l’acteur de la menace qui correspondent respectivement à maintenir un accès transcendant les diverses réinitialisations de processus, et à éviter les détections d’activités. Elles requièrent donc au moins un camouflage de l’activité de la menace ou de ses artefacts. Parmi les 5 techniques qui font partie de l’arsenal permettant d’atteindre à la fois l’un ou l’autre de ces objectifs, il y en a une qui revêt un degré de sophistication et de difficulté particulière. Dans la famille des techniques « sournoises » j’appelle la Pre-OS Boot/ Bootkit, ou Bootkit plus simplement.

 

CACHE-CACHE DANS LA MÉMOIRE PROFONDE

 

La technique nommée Bootkit est éponyme à un type de malware. Un extrait de la page web dédiée sur le site de MITRE mentionne que ce dernier réside dans une couche inférieure à celle du système d’exploitation. Le bootkit, c’est comme si pour garantir le vol du code caché dans un coffre-fort du trentième étage d’un gratte-ciel, un gang s’employait à le déraciner depuis ses fondations pour le transporter dans un lieu secret… Lors d’une cyberattaque, l’écrasante majorité des cas concerne des attaques depuis le réseau (internet ou local). De ce fait les couches qui sont amorcées par l’attaque sont par-dessus le système d’exploitation ou OS. Ainsi, l’extraordinaire difficulté rattachée à la technique bootkit s’évalue dans le fait de devoir contourner, tromper ou désactiver les mécanismes de détection/protection en intégrité potentiellement de 4 couches logicielles : applications, système d’exploitation, noyau et firmware. Et comme avec le plongeur, la sophistication et l’intensité croissent avec la profondeur… C’est que l’on observe parfaitement dans le récent rapport d’analyse de ESET sur le bootkit Blacklotus : le rapport décortique le semble-t-il premier cas répertorié à ce jour de bootkit capable de s’exécuter sur un Windows 11 à jour, avec le UEFI Secure Boot activé.

 

UN PUITS PROFOND DE MALICE

 

La famille des attaques ou techniques sournoises peut être, comme dit plus haut, fascinante d’ingéniosité ou de… mesquinerie. On peut citer, entres autres, la supply chain compromise, les attaques SPECTRE, les très classiques backdoor, le SEO poisoning, ou encore la technique ici ciblée de UEFI Bootkit. Nous n’avons certainement pas fini de (vous) en parler, afin de les mettre à la lumière qu’elles méritent, avec l’espoir de les rendre un peu moins cachées du cyberdéfenseur.

 

Sources :

  • https://attack.mitre.org/techniques/T1542/003/
  • https://www.welivesecurity.com/2023/03/01/blacklotus-uefi-bootkit-myth-confirmed/