août 1, 2013
Le fantôme du secteur d’initialisation
Mon pouvoir sur toi
grandit de plus en plus
(c) Andrew Lloyd Webber – Le fantôme de l’Opéra
Dans la lutte sans fin entre les malwares et les technologies antivirus, il existe un jeu intéressant auquel nous jouons encore et encore – le roi du château.
Les règles sont simples : le gagnant est celui qui réussit à se télécharger en premier sur la mémoire de l’ordinateur, à prendre le contrôle de celui-ci et à se protéger des autres applications. Et depuis le sommet du château, vous pouvez tranquillement tout scruter et assurer l’ordre dans le système (ou au contraire, si vous êtes le méchant – vous pouvez causer le chao, qui restera inaperçu et impuni).
En bref, le gagnant remporte tout, c’est à dire, le contrôle de l’ordinateur.
Et la liste des applications désirant réaliser le processus de démarrage en premier commence d’abord avec (comme le suggère son nom) le secteur d’initialisation – une section spéciale du disque qui stocke toutes les instructions indiquant quand, où et quoi lancer. Et horreur, même le système d’exploitation se trouve dans cette liste ! Il n’est donc pas surprenant que les cybercriminels aient depuis longtemps un intérêt malsain pour ce système, le compromettre est la manière idéale d’arriver en premier et de dissimuler complètement le fait que votre ordinateur soit infecté. Pour cela, les cybercriminels peuvent compter sur l’aide d’un type particulier de malwares – les bootkits.
Comment votre ordinateur s’initialise
Pour savoir comment les bootkits fonctionnent et comment vous en protéger, continuez la lecture…
Les bootkits existent depuis un bout de temps.
Déjà dans le milieu des années 80, ils étaient l’un des types de virus les plus connus. Le tout premier virus DOS, Brain, était un bootkit. Mais les chasseurs de virus ont appris à les contrôler assez rapidement, les créateurs de virus ont donc rapidement perdu tout intérêt pour ces virus, et sont passés à d’autres méthodes plus efficaces (pour eux !) telles que les macrovirus pour MS Office et les vers sur Internet.
Les bootkits ont connu un second souffle à la fin de 2007, quand une nouvelle version du cheval de Troie spyware, Sinowal, capable d’infecter le secteur d’initialisation, est apparue. Ce fut un choc pour certaines compagnies antivirus qui le considérait comme une chose appartenant au passé (depuis la fin des années 90) – à tel point que certains produits étaient complètement incapables de protéger le secteur d’initialisation.
Bien que les bootkits ne représentent en aucun cas une pandémique mondiale, nos rapports montrent bien qu’il s’agit d’une nuisance qui se maintient en arrière plan de manière stable (mais tout de même visible). Les souterrains du monde informatique trouvent toujours de nouvelles astuces…
Mais si les bootkits sont si rusés et indétectables, vous vous demandez peut-être pourquoi ils ne sont pas si répandus ? Méritent-ils autant d’attention ? En d’autres termes, a-t-on vraiment besoin de développer des protections contre eux ?
Et bien, premièrement, à l’échelle mondiale, nous estimons le nombre d’ordinateurs infectés par divers bootkits à environ 10 millions – ce n’est donc pas une minorité représentant un problème limité contre lequel on peut se passer de défenses.
Deuxièmement, cette méthode d’infection est activement utilisée dans les attaques ciblées sponsorisées par des États (comme par exemple, le célèbre FinSpy). Vous serez sûrement d’accord avec le fait que devenir une victime de la guerre cybernétique ou d’une opération spéciale n’est pas une perspective très attrayante.
Et troisièmement, créer un bootkit requiert des connaissances très poussées en programmation de système, connaissances que possèdent largement la plupart des cybercriminels. Les bootkits sont bel et bien rusés et indétectable – mais ils ne sont pas invincibles. Se défendre face à de tels virus n’est pas non plus si simple. Nous avons quand même réussi – et ce, avec brio. Voici comment…
Infections de bootkits, 2013
(uniquement à partir des données des utilisateurs de produits Kaspersky Lab)
Premièrement quelques mots sur le cycle de vie d’un bootkit.
Habituellement une attaque de bootkit démarre à partir d’une vulnérabilité dans le système d’exploitation ou à partir du logiciel installé sur votre ordinateur. Vous visitez simplement un site Web, il teste l’ordinateur et si des points faibles sont trouvés, il attaque. Plus précisément : un fichier est clandestinement téléchargé sur votre ordinateur, et l’infection commence.
Une fois l’ordinateur infecté, le bootkit se copie lui-même sur le secteur d’initialisation et déplace le contenu original du secteur d’initialisation vers un endroit bien protégé du disque dur avant de le chiffrer. À partir de là, chaque fois que l’ordinateur est allumé, le bootkit lance ses modules dans la mémoire de ce dernier et tout en sachant qu’ils contiennent de nombreux éléments malveillants (tel qu’un cheval de Troie bancaire) ainsi que les moyens de se dissimuler – un rootkit. Le rootkit est nécessaire pour cacher le fait que l’ordinateur est infecté. Il reconnaît les tentatives du système d’exploitation et d’autres applications (y compris celles de l’antivirus) de vérifier le contenu du secteur d’initialisation et réintroduit tout simplement le contenu d’origine dans le secteur d’initialisation. Voici comment tout paraît normal !
On pourrait croire qu’avec ce monopole sur le système, une telle cyber-infection pourrait être supprimée en démarrant l’ordinateur depuis un disque doté d’un système d’exploitation sain et d’un bon antivirus. C’est certainement une option. Mais nous avons développé une technologie qui peut aider à combattre les bootkits actifs (même ceux qui sont inconnus !) sans avoir à réaliser une telle chirurgie et réparer l’ordinateur automatiquement.
Aussi bien dans nos produits corporatifs que dans nos produits destinés aux particuliers, il existe un émulateur d’initialisation. Exactement comme notre émulateur conçu pour les systèmes d’exploitation ou les navigateurs, il créé un environnement artificiel répliquant le processus d’initialisation de l’ordinateur. Ensuite, l’émulateur analyse intelligemment toutes les fonctions du disque interceptées, collecte tous les secteurs nécessaire, crée un containeur d’initialisation spécial et le lance dans cet environnement. Le bootkit pense qu’il est temps de rentrer en action et commence sa procédure habituelle… et c’est à ce moment que nous lui sautons dessus ! L’objet suspect est envoyé à nos analystes de virus via notre service Cloud anti-malware, KSN, afin de développer la protection appropriée et les bases de données mises à jour; il suffit ensuite de laisser opérer la technologie : l’antivirus déchiffre le secteur d’initialisation d’origine, supprime le bootkit et tous ses modules, et restore le système. Si vous ne pouvez pas attendre, vous pouvez essayer de réparer votre ordinateur avec notre utilitaire gratuit KVRT.
Ce qui est vraaaiment génial dans cette technologie, c’est comment elle vous aide à vous protéger contre les bootkits inconnus.
Premièrement, nous utilisons une analyse locale heuristique et nous détectons les activités suspectes pendant la simulation du démarrage. Deuxièmement, nous utilisons notre système Cloud – KSN, qui utilise des méthodes statistiques pour détecter les anomalies du bootkit.
Comme n’importe quel émulateur, lancer l’ordinateur virtuellement est un procédé qui nécessite énormément de ressources. Mais quand on y pense, pourquoi conduiriez-vous fréquemment une analyse avancée dans le secteur d’initialisation ? En bref, nous avons choisi le meilleur des deux mondes – l’analyse du secteur d’initialisation est réalisée à la demande, peut être programmée (la nuit par exemple), ou même réalisée quand l’ordinateur est inactif. Le travail est effectué et tout le monde est content !
Quelle est la prochaine étape ?
Il ne fait aucun doute que les bootkits continueront d’évoluer et qu’ils deviendront plus avancés. Un exemple évident est celui du malware polymorphique, XPAJ, qui s’en tire toujours facilement, même le tout nouveau système de défense de Windows ne détecte pas son module de bootkit.
Nous devons également faire attention aux bioskits, qui peuvent atteindre encore plus profondément le système…
Il est également clair que cette classe de malwares restera une arme de choix pour un groupe réduit de cybercriminels – afin d’attirer moins l’attention et de pouvoir rester dans l’ombre.
On trouve une autre ombre au tableau : un certain nombre de produits antivirus célèbres ont complètement oublié les bootkits. Et en voici la preuve ci-dessous : il s’agit des résultats d’un récent test comparatif des capacités de divers antivirus à réparer les infections actives de différents bootkits courants. Le tableau paraît plutôt sombre, mais avec des teintes d’optimisme…
En bref, les choses promettent d’être intéressantes. En attendant, nous ne restons pas les bras croisés. Nous réfléchissons, travaillons, inventons, introduisons, détectons, réparons… et nous sauvons le monde !