Qu'est-ce que le rootkit UEFI «LoJax» développé par des pirates informatiques russes?
Un rootkit est un type de malware particulièrement méchant. UNE “ordinaire” L’infection par logiciel malveillant se charge lorsque vous entrez dans le système d’exploitation. La situation est toujours mauvaise, mais un antivirus correct devrait supprimer les logiciels malveillants et nettoyer votre système..
Inversement, un rootkit s’installe sur le micrologiciel de votre système et permet l’installation d’une charge utile illicite à chaque redémarrage du système..
Des chercheurs en sécurité ont repéré une nouvelle variante du rootkit, appelée LoJax. Qu'est-ce qui distingue ce rootkit des autres? Eh bien, il peut infecter les systèmes modernes basés sur UEFI, plutôt que les anciens systèmes basés sur le BIOS. Et c'est un problème.
Le rootkit UEFI LoJax
ESET Research a publié un document de recherche détaillant LoJax, un rootkit récemment découvert (qu'est-ce qu'un rootkit?), Qui transforme avec succès un logiciel commercial du même nom. (Bien que l’équipe de recherche ait baptisé le malware “LoJax,” le logiciel authentique est nommé “LoJack.”)
En ajoutant à la menace, LoJax peut survivre à une réinstallation complète de Windows et même au remplacement du disque dur.
Le logiciel malveillant survit en attaquant le système de démarrage du microprogramme UEFI. D'autres rootkits peuvent se cacher dans des pilotes ou des secteurs d'amorçage Qu'est-ce qu'un bootkit et Nemesis est-il une menace réelle? Qu'est-ce qu'un bootkit et Nemesis est-il une menace réelle? Les pirates continuent de trouver des moyens de perturber votre système, tels que le bootkit. Examinons ce qu'est un bootkit, comment fonctionne la variante Nemesis et examinons ce que vous pouvez faire pour rester clair. En savoir plus, en fonction de leur code et de l'intention de l'attaquant. LoJax se connecte au micrologiciel du système et réinfecte le système avant même le chargement du système d'exploitation..
Pour l'instant, la seule méthode connue pour supprimer complètement le malware LoJax consiste à faire clignoter un nouveau firmware sur le système suspect. Procédure de mise à jour de votre BIOS UEFI sous Windows Procédure de mise à jour de votre BIOS UEFI sous Windows La plupart des utilisateurs d'ordinateurs utilisent ce logiciel sans mettre à jour leur BIOS. Toutefois, si vous souhaitez conserver votre stabilité, vous devez vérifier périodiquement si une mise à jour est disponible. Nous vous montrons comment mettre à jour votre BIOS UEFI en toute sécurité. Lire la suite . La plupart des utilisateurs n'ont pas d'expérience avec un micrologiciel flash. Bien qu’il soit plus facile que par le passé, il est encore important de noter que le flashage d’un micrologiciel risque de mal tourner, ce qui risquerait de nuire à la machine en question..
Comment fonctionne le rootkit LoJax?
LoJax utilise une version reconditionnée du logiciel antivol LoJack d’Absolute Software. L'outil d'origine est conçu pour être persistant tout au long de l'effacement du système ou du remplacement du disque dur afin que le détenteur de licence puisse suivre un périphérique volé. Les raisons pour lesquelles l'outil s'enfonce si profondément dans l'ordinateur sont assez légitimes, et LoJack est toujours un produit antivol populaire pour ces qualités exactes..
Étant donné qu'aux États-Unis, 97% des ordinateurs portables volés ne sont jamais récupérés, il est compréhensible que les utilisateurs souhaitent une protection supplémentaire pour un investissement aussi coûteux..
LoJax utilise un pilote de noyau, RwDrv.sys, accéder aux paramètres BIOS / UEFI. Le pilote du noyau est fourni avec RWEverything, un outil légitime utilisé pour lire et analyser les paramètres d’ordinateur de bas niveau (bits auxquels vous n’avez normalement pas accès). Le processus d’infection par rootkit LoJax comportait trois autres outils:
- Le premier outil exporte des informations sur les paramètres système de bas niveau (copiés de RWEverything) dans un fichier texte. Contourner la protection du système contre les mises à jour de microprogrammes malveillants nécessite la connaissance du système.
- Le deuxième outil “enregistre une image du micrologiciel du système dans un fichier en lisant le contenu de la mémoire flash SPI.” La mémoire flash SPI héberge le UEFI / BIOS.
- Un troisième outil ajoute le module malveillant à l’image du firmware puis le réécrit dans la mémoire flash SPI.
Si LoJax réalise que la mémoire flash SPI est protégée, il exploite une vulnérabilité connue (CVE-2014-8273) pour y accéder, puis continue et écrit le rootkit en mémoire..
D'où vient LoJax??
L’équipe de recherche ESET estime que LoJax est l’œuvre du tristement célèbre groupe russe de piratage Fancy Bear / Sednit / Strontium / APT28. Le groupe de piratage informatique est responsable de plusieurs attaques majeures au cours des dernières années.
LoJax utilise les mêmes serveurs de commande et de contrôle que SedUploader, un autre malware de la porte dérobée Sednit. LoJax contient également des liens et des traces d'autres programmes malveillants Sednit, notamment XAgent (un autre outil de porte dérobée) et XTunnel (un outil de proxy réseau sécurisé)..
En outre, la recherche ESET a révélé que les opérateurs de programmes malveillants “utilisé différents composants du malware LoJax pour cibler quelques organisations gouvernementales dans les Balkans ainsi qu'en Europe centrale et orientale.”
LoJax n'est pas le premier rootkit UEFI
La nouvelle de LoJax a certainement amené le monde de la sécurité à prendre note. Cependant, ce n'est pas le premier rootkit UEFI. L'équipe de piratage informatique (un groupe malveillant, au cas où vous l'auriez demandé) utilisait un rootkit UEFI / BIOS en 2015 pour conserver un agent de système de contrôle à distance installé sur les systèmes cibles..
La principale différence entre le rootkit UEFI de l'équipe de hacking et LoJax réside dans le mode de livraison. À l'époque, les chercheurs en sécurité pensaient que l'équipe de piratage avait besoin d'un accès physique à un système pour installer l'infection au niveau du microprogramme. Bien sûr, si quelqu'un a un accès direct à votre ordinateur, il peut faire ce qu'il veut. Pourtant, le rootkit UEFI est particulièrement méchant.
Votre système est-il menacé par LoJax?
Les systèmes modernes basés sur UEFI présentent plusieurs avantages distincts par rapport à leurs anciens homologues basés sur le BIOS.
D'une part, ils sont plus récents. Un nouveau matériel n'est pas la solution idéale, mais il facilite beaucoup de tâches informatiques.
Deuxièmement, le micrologiciel UEFI comporte également quelques fonctionnalités de sécurité supplémentaires. Le démarrage sécurisé est particulièrement intéressant, car il ne permet que les programmes portant une signature numérique signée.
Si cette option est désactivée et que vous rencontrez un rootkit, vous passerez un mauvais moment. Secure Boot est également un outil particulièrement utile à l’ère des ransomwares. Découvrez la vidéo suivante de Secure Boot traitant du très dangereux ransomware NotPetya:
NotPetya aurait tout chiffré sur le système cible si Secure Boot avait été désactivé.
LoJax est un genre de bête totalement différent. Contrairement aux rapports précédents, même le démarrage sécurisé ne peut pas arrêter LoJax. Garder votre micrologiciel UEFI à jour est extrêmement important. Il existe des outils anti-rootkit spécialisés. Guide de suppression complète des programmes malveillants Guide de suppression complète des logiciels malveillants Les logiciels malveillants sont omniprésents de nos jours et éliminer les logiciels malveillants de votre système est un processus fastidieux qui nécessite des instructions. Si vous pensez que votre ordinateur est infecté, c’est le guide dont vous avez besoin. Lisez plus aussi, mais on ne sait pas s'ils peuvent se protéger contre LoJax.
Cependant, à l'instar de nombreuses menaces présentant ce niveau de capacité, votre ordinateur est une cible de choix. Les logiciels malveillants avancés se concentrent principalement sur des cibles de haut niveau. En outre, LoJax a les indications d'une implication d'acteurs menaçants d'un État national; une autre chance forte que LoJax ne vous affecte pas à court terme. Cela dit, les logiciels malveillants ont un moyen de filtrer dans le monde. Si les cybercriminels découvrent l'utilisation réussie de LoJax, il pourrait devenir plus courant dans les attaques de logiciels malveillants classiques.
Comme toujours, garder votre système à jour est l’un des meilleurs moyens de le protéger. Un abonnement Malwarebytes Premium est également d'une grande aide. 5 raisons de mettre à niveau vers Malwarebytes Premium: Oui, ça vaut le coup 5 raisons de faire une mise à niveau vers Malwarebytes Premium: Oui, ça vaut le coup Même si la version gratuite de Malwarebytes est géniale, la version premium contient de nombreuses fonctionnalités utiles et utiles. Lire la suite
En savoir plus sur: Malware, Rootkit, UEFI.