Trickbot est de retour avec de nouvelles fonctionnalités

0

Le malware TrickBot s’est à nouveau transformé, cette fois en implémentant des fonctionnalités conçues pour inspecter le micrologiciel UEFI/BIOS des systèmes ciblés. On remarque une sérieuse résurgence après le retrait en Octobre de l’infrastructure du malware par Microsoft et d’autres.

L’interface UEFI (Unified Extensible Firmware Interface) de Windows régit le fonctionnement du micrologiciel de plate-forme de bas niveau, y compris le chargement du système d’exploitation lui-même. Il peut également être utilisé lorsque le système d’exploitation est déjà opérationnel, par exemple pour mettre à jour le firmware. Le BIOS, quant à lui, est un micrologiciel utilisé pour effectuer l’initialisation du matériel pendant le processus de démarrage et pour fournir des services d’exécution pour les systèmes d’exploitation et les programmes.

Selon une recherche collaborative d’AdvIntel (Advanced Intelligence) et d’Eclypsium, la nouvelle fonctionnalité de TrickBot, qu’ils appellent «TrickBoot», vérifie les vulnérabilités connues des périphériques qui peuvent permettre aux attaquants de lire, écrire ou effacer le micrologiciel UEFI/BIOS d’un périphérique.

Cela offre un certain nombre d’avantages: l’incorporation de code malveillant dans le mécanisme de démarrage garantit qu’il s’exécute en premier, avant toute autre fonction. Cette fonctionnalité de «bootkit» permet ainsi à un attaquant de contrôler la façon dont le système d’exploitation est démarré ou même de modifier directement le système d’exploitation pour obtenir un contrôle complet sur un système et subvertir les contrôles de sécurité de niveau supérieur.

« Cette activité prépare le terrain pour que les opérateurs de TrickBot effectuent des mesures plus actives telles que l’installation d’implants de micrologiciels et de portes dérobées ou la destruction d’un appareil ciblé », ont expliqué les chercheurs dans un communiqué, ajoutant qu’une telle destruction est difficile à empêcher. «Il est fort possible que les pirates informatiques exploitent déjà ces vulnérabilités contre des cibles de grande valeur.»

Les implants de niveau UEFI ont également un avantage supplémentaire car ils sont extrêmement furtifs.

«Étant donné que le micrologiciel est stocké sur la carte mère plutôt que sur les disques système, ces menaces peuvent fournir aux attaquants une persistance continue même si un système est réimagé ou qu’un disque dur est remplacé», ont noté les chercheurs. «Des menaces similaires axées sur l’UEFI ont existé pendant des années avant d’être détectées. En effet, c’est précisément leur valeur pour les attaquants. »

Bootkits: Une fonctionnalité rare

La capacité d’écrire du code malveillant sur le micrologiciel du système, garantissant que le code de l’attaquant s’exécute avant le système d’exploitation tout en cachant le code en dehors des lecteurs système, n’a été observée que rarement auparavant, ont noté les chercheurs.

«Ces capacités ont été utilisées de manière abusive dans le passé pour permettre aux attaquants de maintenir la persistance du micrologiciel, notamment par le malware LoJax et la campagne de Slingshot», ont-ils déclaré. « Cependant, TrickBot marque une expansion significative de ces techniques dans la nature. »

trickbot

En Octobre, un bootkit de micrologiciel rare ciblait des diplomates et des membres d’organisations non gouvernementales (ONG) d’Afrique, d’Asie et d’Europe. Il s’est avéré faire partie d’un framework nouvellement découvert appelé MosaicRegressor.

«Il a fallu plus de cinq ans à l’industrie pour découvrir l’utilisation du code du malware UEFI VectorEDK de Hacking Team qui a été utilisé dans le cadre de la campagne MosaicRegressor, bien que le code source soit facilement disponible sur Github et même documenté dans son utilisation.» Les chercheurs d’Eclypsium et d’AdvIntel ont conclu: «Compte tenu de la façon dont les auteurs de TrickBot sont actifs, dotés de ressources suffisantes et capables, nous voulions rechercher, analyser et exposer tous les outils qu’ils ont déjà en place afin de permettre aux organisations de préparer plus rapidement des défenses efficaces.

L’évolution de TrickBot continue

TrickBot est un cheval de Troie bien connu et sophistiqué développé pour la première fois en 2016 en tant que malware bancaire – il a l’habitude de se transformer et d’ajouter de nouvelles fonctionnalités pour échapper à la détection ou améliorer ses capacités d’infection. En 2017, par exemple, il a ajouté des fonctionnalités pour exploiter les vulnérabilités EternalBlue et EternalRomance. Ainsi, bien au-delà de ses racines bancaires, il s’est développé au fil des ans pour devenir une solution criminelle à part entière, basée sur des modules, généralement destinée à attaquer les entreprises et les infrastructures publiques.

Les utilisateurs infectés par le cheval de Troie TrickBot verront leur appareil faire partie d’un botnet que les attaquants utilisent pour charger les logiciels malveillants de deuxième étape, les chercheurs l’ont qualifié de «dropper idéal pour presque toutes les charges utiles de logiciels malveillants supplémentaires».

Les conséquences typiques des infections TrickBot sont la prise de contrôle de compte bancaire, la fraude bancaire et les attaques de ransomwares. On le voit souvent travailler de concert avec Emotet, un autre cheval de Troie préoccupant et répandu qui est connu pour sa conception modulaire et sa capacité à fournir une gamme de charges utiles, y compris le ransomware Ryuk.

L’évolution vers l’ajout d’une analyse automatisée des failles de micrologiciel devrait mettre en garde la communauté de la sécurité informatique, selon les chercheurs.

«L’ajout de la fonctionnalité UEFI marque une avancée importante dans cette évolution en cours en étendant son champ d’action au-delà du système d’exploitation de l’appareil jusqu’aux couches inférieures qui ne sont souvent pas inspectées par les produits de sécurité et les chercheurs», ont-ils expliqué. «Étant donné que l’ensemble d’outils du groupe TrickBot a été utilisé par certains des acteurs criminels, russes et nord-coréens les plus dangereux pour cibler le secteur de la santé, la finance, les télécommunications, l’éducation et les infrastructures critiques, nous considérons ce développement comme étant d’une importance cruciale pour les risques d’entreprise et la sécurité nationale.»

Rebondir

En Octobre, TrickBot a subi un coup dur grâce à une action coordonnée menée par Microsoft qui a perturbé le botnet qui le propage. Un tribunal a accueilli une demande d’ordonnance du tribunal visant à interrompre les opérations de TrickBot, que Microsoft a exécutée de concert avec d’autres sociétés, notamment ESET, Lumen’s Black Lotus Labs, NTT Ltd., Symantec et d’autres.

«Nous avons perturbé TrickBot grâce à une ordonnance du tribunal que nous avons obtenue, ainsi qu’à une action technique que nous avons exécutée en partenariat avec des fournisseurs de télécommunications du monde entier», a écrit Tom Burt, vice-président de la société Customer Security & Trust chez Microsoft à l’époque. «Nous avons maintenant coupé l’infrastructure clé afin que ceux qui exploitent TrickBot ne soient plus en mesure d’initier de nouvelles infections ou d’activer les ransomwares déjà déposés dans les systèmes informatiques.»

Cependant, les chercheurs avaient averti à l’époque que les opérateurs de TrickBot essaieraient rapidement de relancer leurs opérations, une prédiction qui s’est rapidement réalisée.

trickbot

Selon AdvIntel et Eclypsium, les infections actives de TrickBot ont augmenté au cours des deux mois qui ont suivi l’opération de Microsoft, atteignant jusqu’à 40 000 nouvelles victimes en une seule journée.

«Obtenir des informations n’est pas un défi pour les opérateurs de TrickBot», ont-ils expliqué. «Déterminer quelles victimes sont des cibles de grande valeur et persister dans ces environnements pour les frapper à nouveau plus tard définit une grande partie de l’ensemble d’outils de TrickBot et définit l’importance de cette découverte.»

TrickBot: l’analyse de la faille UEFI/BIOS

Les chercheurs d’AdvIntel ont découvert la nouvelle fonction pour la première fois lorsqu’ils ont rencontré le nom «PermaDll» dans une chaîne d’attaque TrickBot qui a émergé en Octobre.

«Perma, qui ressemblait au mot ‘permanent’, était suffisamment intrigant en soi pour vouloir comprendre le rôle de ce module», ont expliqué les chercheurs. « L’analyse initiale a mis en évidence la possibilité qu’il existe des capacités liées à la compréhension de la possibilité d’attaquer le micrologiciel UEFI d’un système victime à des fins de persistance ou de destruction. »

L’analyse a montré que le module de TrickBoot utilise le pilote RwDrv.sys du populaire outil RWEverything.

«RWEverything (tout lire-écrire) est un outil puissant qui peut permettre à un attaquant d’écrire dans le micrologiciel sur pratiquement n’importe quel composant de l’appareil, y compris le contrôleur SPI qui régit le système UEFI/BIOS», selon la recherche.

TrickBoot l’utilise pour interagir avec le contrôleur SPI du micrologiciel afin de vérifier si le micrologiciel peut être modifié, en vérifiant si la protection en écriture du BIOS est activée ou non.

« TrickBot contient une copie masquée de RwDrv.sys intégrée dans le malware lui-même », ont déclaré les chercheurs. «Il dépose le pilote dans le répertoire Windows, démarre le service RwDrv, puis effectue des appels DeviceIoControl pour parler au matériel.»

Jusqu’à présent, seule une activité de numérisation a été détectée – cependant, un code primitif pour la lecture, l’écriture et l’effacement du micrologiciel est également intégré au module, signalant une activité future, selon les entreprises.

Laisser un commentaire