Publicité

Un rootkit est un type de malware particulièrement méchant. Une infection malveillante «régulière» se charge lorsque vous entrez dans le système d'exploitation. C'est toujours une mauvaise situation, mais un antivirus décent devrait supprimer les logiciels malveillants et nettoyer votre système.

À l'inverse, un rootkit s'installe sur le micrologiciel de votre système et permet l'installation d'une charge utile malveillante à chaque redémarrage de votre système.

Les chercheurs en sécurité ont repéré une nouvelle variante de rootkit dans la nature, nommée LoJax. Qu'est-ce qui distingue ce rootkit des autres? Eh bien, il peut infecter les systèmes modernes basés sur UEFI, plutôt que les anciens systèmes basés sur BIOS. Et c'est un problème.

Le rootkit LoJax UEFI

Recherche ESET publié un document de recherche qui détaille LoJax, un rootkit récemment découvert (qu'est-ce qu'un rootkit?) qui réutilise avec succès un logiciel commercial du même nom. (Bien que l'équipe de recherche ait baptisé le logiciel malveillant «LoJax», le véritable logiciel s'appelle «LoJack».)

Ajoutant à la menace, LoJax peut survivre à une réinstallation complète de Windows et même au remplacement du disque dur.

Le malware survit en attaquant le système de démarrage du firmware UEFI. Autre les rootkits peuvent se cacher dans les pilotes ou les secteurs de démarrage Qu'est-ce qu'un Bootkit et Nemesis est-il une véritable menace?Les pirates continuent de trouver des moyens de perturber votre système, comme le bootkit. Voyons ce qu'est un kit de démarrage, comment fonctionne la variante Nemesis et considérons ce que vous pouvez faire pour rester clair. Lire la suite , en fonction de leur codage et de l'intention de l'attaquant. LoJax se connecte au micrologiciel du système et réinfecte le système avant même que le système d'exploitation ne se charge.

Pour l'instant, la seule méthode connue pour supprimer complètement le malware LoJax est nouveau firmware clignotant sur le système suspect Comment mettre à jour votre BIOS UEFI sous WindowsLa plupart des utilisateurs de PC vont sans jamais mettre à jour leur BIOS. Cependant, si vous tenez à une stabilité continue, vous devez vérifier régulièrement si une mise à jour est disponible. Nous vous montrons comment mettre à jour en toute sécurité votre BIOS UEFI. Lire la suite . La plupart des utilisateurs n’ont pas l’expérience d’un flash firmware. Bien que plus facile que par le passé, il y a toujours un risque que le flashage d'un micrologiciel ne fonctionne pas correctement, ce qui pourrait endommager la machine en question.

Comment fonctionne le RootJit LoJax?

LoJax utilise une version reconditionnée du logiciel antivol LoJack d'Absolute Software. L'outil d'origine est censé être persistant tout au long de l'effacement du système ou du remplacement du disque dur afin que le titulaire de licence puisse suivre un appareil volé. Les raisons pour lesquelles l'outil s'enfonce si profondément dans l'ordinateur sont assez légitimes, et LoJack est toujours un produit antivol populaire pour ces qualités exactes.

Étant donné qu'aux États-Unis, 97% des ordinateurs portables volés sont jamais récupéré, il est compréhensible que les utilisateurs souhaitent une protection supplémentaire pour un investissement aussi coûteux.

LoJax utilise un pilote de noyau, RwDrv.sys, pour accéder aux paramètres BIOS / UEFI. Le pilote du noyau est fourni avec RWEverything, un outil légitime utilisé pour lire et analyser les paramètres informatiques de bas niveau (bits auxquels vous n'avez normalement pas accès). Il y avait trois autres outils dans le processus d'infection de rootkit LoJax:

  • Le premier outil transfère des informations sur les paramètres système de bas niveau (copiés à partir de RWEverything) dans un fichier texte. Contourner la protection du système contre les mises à jour malveillantes du micrologiciel nécessite une connaissance du système.
  • Le deuxième outil «enregistre une image du micrologiciel du système dans un fichier en lisant le contenu de la mémoire flash SPI». La mémoire flash SPI héberge l'UEFI / BIOS.
  • Un troisième outil ajoute le module malveillant à l'image du micrologiciel, puis le réécrit dans la mémoire flash SPI.

Si LoJax se rend compte que la mémoire flash SPI est protégée, il exploite une vulnérabilité connue (CVE-2014-8273) pour y accéder, puis continue et écrit le rootkit en mémoire.

D'où est venu LoJax?

L'équipe de recherche ESET pense que LoJax est l'œuvre du célèbre groupe de piratage russe Fancy Bear / Sednit / Strontium / APT28. Le groupe de piratage est responsable de plusieurs attaques majeures ces dernières années.

LoJax utilise les mêmes serveurs de commande et de contrôle que SedUploader, un autre malware de porte dérobée Sednit. LoJax possède également des liens et des traces d'autres logiciels malveillants Sednit, notamment XAgent (un autre outil de porte dérobée) et XTunnel (un outil de proxy réseau sécurisé).

En outre, la recherche ESET a révélé que les opérateurs de logiciels malveillants «utilisaient différents composants du Le malware LoJax ciblera quelques organisations gouvernementales dans les Balkans ainsi que dans le centre et l'est L'Europe ."

LoJax n'est pas le premier rootkit UEFI

Les nouvelles de LoJax ont certainement incité le monde de la sécurité à prendre note. Cependant, ce n'est pas le premier rootkit UEFI. The Hacking Team (un groupe malveillant, juste au cas où vous vous poseriez la question) utilisait un rootkit UEFI / BIOS en 2015 pour garder un agent système de contrôle à distance installé sur les systèmes cibles.

La principale différence entre le rootkit UEFI Hacking Team et LoJax est la méthode de livraison. À l'époque, les chercheurs en sécurité pensaient que The Hacking Team avait besoin d'un accès physique à un système pour installer l'infection au niveau du firmware. Bien sûr, si quelqu'un a un accès direct à votre ordinateur, il peut faire ce qu'il veut. Pourtant, le rootkit UEFI est particulièrement méchant.

Votre système est-il menacé par LoJax?

Les systèmes modernes basés sur UEFI présentent plusieurs avantages distincts par rapport à leurs homologues plus anciens basés sur BIOS.

D'une part, ils sont plus récents. Les nouveaux matériels ne sont pas tous finaux, mais ils facilitent de nombreuses tâches informatiques.

Deuxièmement, le firmware UEFI possède également quelques fonctionnalités de sécurité supplémentaires. Le démarrage sécurisé est particulièrement intéressant, qui permet uniquement aux programmes avec une signature numérique signée de s'exécuter.

Si cette option est désactivée et que vous rencontrez un rootkit, vous allez passer un mauvais moment. Secure Boot est également un outil particulièrement utile à l'ère actuelle des ransomwares. Regardez la vidéo suivante de Secure Boot traitant du rançongiciel NotPetya extrêmement dangereux:

NotPetya aurait chiffré tout sur le système cible si Secure Boot avait été désactivé.

LoJax est un tout autre type de bête. Contrairement aux rapports précédents, même Secure Boot ne peut pas arrêter LoJax. La mise à jour de votre firmware UEFI est extrêmement importante. Il y a quelques outils anti-rootkit spécialisés Le guide de suppression complète des logiciels malveillantsLes logiciels malveillants sont partout ces jours-ci, et l'éradication des logiciels malveillants de votre système est un processus long, nécessitant des conseils. Si vous pensez que votre ordinateur est infecté, voici le guide dont vous avez besoin. Lire la suite , aussi, mais on ne sait pas s'ils peuvent protéger contre LoJax.

Cependant, comme de nombreuses menaces avec ce niveau de capacité, votre ordinateur est une cible privilégiée. Les logiciels malveillants avancés se concentrent principalement sur des cibles de haut niveau. En outre, LoJax a les indications d'une implication d'acteurs menaçants de l'État-nation; une autre chance forte que LoJax ne vous affectera pas à court terme. Cela dit, les logiciels malveillants ont un moyen de filtrer dans le monde. Si les cybercriminels découvrent l'utilisation réussie de LoJax, cela pourrait devenir plus courant dans les attaques de logiciels malveillants régulières.

Comme toujours, la mise à jour de votre système est l'un des meilleurs moyens de protéger votre système. Un abonnement Malwarebytes Premium est également d'une grande aide. 5 raisons de passer à Malwarebytes Premium: Oui, ça vaut le coupAlors que la version gratuite de Malwarebytes est géniale, la version premium a un tas de fonctionnalités utiles et utiles. Lire la suite

Gavin est rédacteur principal pour MUO. Il est également rédacteur en chef et gestionnaire SEO pour le site frère de MakeUseOf, Blocks Decoded. Il a un BA (Hons) écriture contemporaine avec des pratiques d'art numérique pillé des collines du Devon, ainsi que plus d'une décennie d'expérience professionnelle en écriture. Il aime beaucoup de thé.