Infos

Bootkit 2009

Introduction

En 2008, nous avions noté l’apparition de l’application malveillante Backdoor.Win32.Sinowal et nous l’avions classée parmi les applications très dangereuses du point de vue technologique (www.viruslist.com/fr).

Cette décision était justifiée par le fait que les auteurs de l’application exploitaient des technologies parmi les plus modernes à l’époque en matière de développement de virus, y compris :

  1. L’infection «individuelle» des visiteurs de sites compromis à l’aide d’une multitude de vulnérabilités.
  2. L’utilisation de technologies de dissimulation d’activité et de méthodes des virus d’amorce pour infecter le MBR de l’ordinateur. Les méthodes d’infection des secteurs de démarrage des disques étaient très populaires au début de l’ère des virus informatiques ; nous assistons à une renaissance de cette ancienne technologie portée à un niveau supérieur. La situation se complique si l’on sait que de nombreux systèmes récents de lutte contre les virus sont tout simplement incapables d’analyser le MBR car les développeurs avaient estimé que cette méthode n’était plus utilisée.
  3. Le recours à la migration constante des serveurs d’administration et d’infection (modification de l’adresse IP et du nom de domaine). Les ordinateurs infectés utilisaient un algorithme spécial de création de nom de domaine pour rechercher leur centre d’administration. Une technologie similaire a ensuite été utilisée dans toutes les applications malveillantes de la famille Kido (Conficker).

Ces méthodes et technologies malveillantes sont devenues en un an des « classiques » et elles figurent désormais dans les applications malicieuses les plus diverses. Les développeurs du bootkit n’ont pas perdu de temps et ont poursuivi leurs travaux dans la création, la mise en oeuvre et le développement de ces technologies.

Ainsi, le bootkit est à l’heure actuelle l’application malveillante la plus sophistiquée : elle est dissimulée et échappe à la majorité des solutions antivirales modernes.

Vers la fin du mois de mars 2009, les experts de Kaspersky Lab ont découvert une nouvelle modification du bootkit. Les résultats de l’analyse de son fonctionnement et de ses modes de diffusion font l’objet de cet article.

Situation actuelle

Une analyse du développement du bootkit permet de mettre en évidence les modifications suivantes :

  1. Mode de diffusion

A l’heure actuelle, le bootkit se propage via des sites corrompus, des sites pornographiques et des sites qui proposent des applications piratées à télécharger. La grande majorité des serveurs impliqués dans l’infection des utilisateurs peut être reliée d’une manière ou d’une autre à des éléments russophones : ils fonctionnent dans le cadre de « programmes de coopération », à savoir une interaction entre les propriétaires des sites et les auteurs d’applications malveillantes. Ces « partenariats » sont très populaires dans les milieux cybercriminels russe et ukrainien.

Parmi les technologies relativement nouvelles, nous pouvons citer le mécanisme de création du nom de domaine du site d’où seront diffusés les codes d’exploitation.

Lorsque l’internaute accède à la page infectée, un script spécial est exécuté sur son ordinateur. Ce script génère, sur la base de la date actuelle de l’ordinateur, un nom de site vers lequel l’utilisateur sera redirigé afin d’obtenir un code d’exploitation « personnel ».

Partie déchiffrée d’un script de génération de nom de domaine d’un site hébergeant des codes d’exploitation.

Le recours à la méthode classique des listes noires pour bloquer l’accès aux sites contenant les codes d’exploitation est donc pratiquement inutile. Toutefois, les spécialistes peuvent identifier, après analyse de l’algorithme de création du nom, les codes d’exploitation qui seront utilisés et les bloquer.

En plus du nom de domaine crée à partir de la date, le script intégré aux pages Web infectées génère également des cookies d’une validité de 7 jours. Ceci vise à empêcher une nouvelle ouverture de la page avec Neosploit au cas où l’utilisateur visiterait à nouveau la page. Le script vérifie si des cookies existent et si la réponse est affirmative et que leur durée de validité n’est pas écoulée, il ne produit pas un nom de domaine et l’utilisateur n’est pas redirigé vers Neosploit.

  1. Technologies d’outil de dissimulation d’activité

Comme par le passé, bootkit utilise des moyens qui reposent sur l’infection de MBR afin de pouvoir charger son pilote durant le démarrage du système d’exploitation. Le pilote est utilisé pour empêcher la détection et la réparation de l’enregistrement de démarrage infecté. Les premières versions utilisaient l’interception de la procédure IRP de l’objet DriverDisk, toutefois les technologies de lutte contre les applications malveillantes se sont développées et les auteurs de virus ont dû remanier considérablement leur algorithme de fonctionnement. La version actuelle de l’outil de dissimulation d’activité utilise une technologie plus avancée de dissimulation de sa présence dans le système par rapport à la version antérieure. A l’heure actuelle, aucun des outils de dissimulation d’activité connus n’utilise les méthodes décrites ci-dessous.

Lorsque le pilote malveillant démarre, il recherche la présence éventuelle d’un débogueur actif. Si un débogueur est identifié, l’outil de dissimulation de l’activité ne cache pas le MBR infecté et ne laisse rien transpirer de sa présence dans le système.

Pour devenir pratiquement invisible, l’outil de dissimulation d’activité remplace l’indice du périphérique requis par son type. Ce type est la structure définie dans laquelle le pilote malveillant remplace l’indice par la fonction (ParseProcedure).


 

Installation d’un intercepteur de requête de fonction pour remplacement du MBR

Si le disque physique est ouvert par le logiciel antivirus pour un accès de faible niveau, un appel de la fonction interceptée est réalisé. L’interception de la procédure IRP du pilote d’un niveau inférieur à DriverDisk et de la fonction appelée lors de la fermeture du disque ouvert a lieu à son tour. Dès que le disque est fermé, toutes les interceptions reviennent à l’état d’origine.


 

Pilote de faible niveau de l’atapi du système infecté

Le code du pilote qui a subi des modifications notables au cours de cette période requiert une attention particulière. La majorité des fonctions clés qui installent des intercepteurs avec des fonctions systèmes sont modifiées, ce qui complique sensiblement la procédure d’analyse du code malveillant.


Exemple de fonction chiffrée de l’interception

Méthodes de protection

Bien que d’autres éditeurs de logiciels antivirus aient également identifié cette version du bootkit et proposé certaines méthodes de détection, Kaspersky Lab est le seul éditeur qui, à ce jour, offre une protection fiable à ses utilisateurs contre le bootkit à toutes les étapes de son fonctionnement.

En cas de visite d’une page infectée, Kaspersky Internet Security bloque :

  1. L’accès au nom du site généré pour le téléchargement du code d’exploitation :

  1. Les scripts de création et de chargement des codes d’exploitation :

  1. Les codes d’exploitation les plus dangereux et les plus récents :

Parmi les tâches les plus complexes et les plus importantes qui incombent à Kaspersky Internet Security, il convient de citer la détection du bootkit actif et la réparation de l’ordinateur infecté.

La première version de Sinowal a été identifiée au début de l’année 2008. En octobre 2008, seuls quatre solutions antivirales parmi les quinze plus populaires étaient capables de la détecter et de la neutraliser ! (source : http://www.anti-malware.ru/malware_treatment_test_2008).

Malheureusement, la version 2009 est tout aussi problématique. Toutefois, notre solution antivirale peut la neutraliser :

Dès qu’il a identifié la menace, Kaspersky Internet Security est capable de contourner tous les intercepteurs installés par l’outil de dissimulation de l’activité et de réparer le MBR infecté :

La protection à chacune des étapes de fonctionnement du bootkit (depuis la visite du site infecté jusqu’à la réparation de l’infection active) est très importante. L’impossibilité de détecter la menace ne serait-ce qu’à une étape permettrait aux cybercriminels de ne pas avoir à déjouer toutes les autres méthodes de protection et d’exploiter cette faille pour infecter l’ordinateur avec une application malveillante qui resterait invisible pendant longtemps.

Conclusion

Le bootkit demeure à ce jour le programme malveillant le plus dangereux. Il connaît l’évolution la plus rapide. C’est de ce bootkit (et de sa diffusion) que proviennent les technologies de création de virus les plus sophistiquées identifiées ces dernières années.

Les éditeurs de solutions antivirales doivent être attentifs à la moindre modification et aux technologies exploitées par les auteurs du bootkit car celles-ci seront prochainement utilisées par de nombreux autres auteurs de virus.

Mais il est encore plus important d’améliorer les logiciels et les technologies actuelles de lutte contre les virus afin de pouvoir non seulement résister efficacement aux tentatives d’infection des ordinateurs mais aussi découvrir les menaces les plus complexes actives dans le système d’exploitation à un niveau incomparable.

Bootkit 2009

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception