Le bootkit qui ne voulait pas mourir

Actualités - Hack - Posté on 12 Juin 2015 at 10:48 par cnis-mag

MArc O« Il y a quelques années, explique MalwareTech, un de mes amis travaillait sur un PoC de malware résidant dans le Bios. J’ai pensé que c’était là une idée assez sympa. Une telle infection résisterait même au formatage du disque ». Afin de s’affranchir des contraintes d’espace et des difficultés d’injection liées aux bootkit Bios, l’auteur s’est donc attaqué aux disques durs. On trouve de tout dans un Winchester : un processeur ARM puissant, de la mémoire en quantité, des firmwares qui n’évoluent pas ou très peu d’un modèle à l’autre, et surtout un nombre de plus en plus restreint de constructeurs, donc de versions de microcodes. Ajoutons à cela que tout disque dispose d’un port Jtag qui facilite les premiers travaux de « reverse », qu’il n’a jamais existé, qu’il n’existe pas, qu’il n’existera jamais d’antivirus assez sérieux pour vérifier l’intégrité de la mémoire d’un périphérique. Luxe suprême, rappelons que ledit disque dur se trouve à un emplacement stratégique, puisque sa compromission donne accès au buffer de lecture, voie royale vers la mémoire du système.

En outre, précise MalwareTech, et contrairement aux virus Bios qui nécessitent soit de « patcher » lourdement, soit de changer totalement le firmware d’origine (avec un Bios Open Source par exemple, tel que le faisait Rakshasa ), il est possible de se limiter à quelques « hooks » judicieusement positionnés. Une telle approche est quasiment persistante ad vitam aeternam (les mesures prophylactiques telles que la mise à niveau des bios disque ne sont quasiment jamais mises en œuvre) et invisibles. Même les experts judiciaires et spécialistes de l’analyse forensique n’ont quasiment aucune chance (car généralement aucun moyen) pour vérifier ce genre d’intrusion. Cela va sans dire, l’injection n’exige pas d’accès ni au matériel, ni à la console.

Jouer avec le microcode d’un disque dur n’est pas franchement nouveau. Cette technique est utilisée depuis fort longtemps, notamment par les hackers de consoles de jeux, et se trouve mentionnée parmi les nombreux outils d’espionnage de la NSA mis à jour par les fichiers Snowden. Cependant, aucune de ces méthodes n’utilisait des vecteurs de propagation issus du monde des virus. MalwareTech n’a donc qu’amélioré quelque chose que l’on savait possible.

Faut-il désormais craindre une déferlante de bootkit « Western_Killer » et autres « SATAnvenger » ? C’est peu probable. Si la lecture de sa présentation donne quelques éléments sur la méthode utilisée, les détails sont encore tenus secrets pour d’évidentes raisons de sécurité. Cette occultation des détails techniques risque de durer encore un sacré bout de temps, car la durée de vie des disques durs dépasse parfois la dizaine d’années dans certaines entreprises et chez beaucoup de particuliers.
Mais si la déferlante est improbable, le « virus-disque » pourrait bien connaître un succès sans précédent dans le petit monde des attaques ciblées et des gadgets pour barbouzes. Et ce particulièrement en France, depuis que les agissements de ces « brillantes synthèses de l’esprit et du muscle » ont vu leurs activité totalement légalisées et entrées de plain-pied dans le droit commun.

2 commentaires

Laisser une réponse