Qu’est-ce qu’un Bootkit et Nemesis est-il une menace réelle ?
La menace de contracter un virus est bien réelle. L’omniprésence de forces attaquant nos ordinateurs, usurpant nos identités et pillant nos comptes bancaires est une constante, mais nous espérons qu’avec suffisamment de connaissances techniques et un peu de chance, tout ira bien.
Cependant, aussi avancés que soient les antivirus et autres logiciels de sécurité, les attaquants potentiels continuent de trouver de nouveaux vecteurs néfastes pour compromettre votre système. Bootkit en fait partie. Bien qu’ils ne soient pas entièrement nouveaux dans le paysage des logiciels malveillants, leur utilisation a généralement augmenté et leurs capacités ont considérablement augmenté.
Voyons ce qu’est un bootkit, examinons Nemesis, la variante du bootkit, et considérons ce que vous pouvez faire pour garder les choses claires.
Qu’est-ce qu’un Bootkit ?
Pour comprendre ce qu’est un bootkit, nous allons d’abord expliquer d’où vient le terme. Un bootkit est une variante d’un rootkit, un type de logiciel malveillant qui peut se cacher dans votre système d’exploitation et votre logiciel antivirus. Les rootkits sont notoirement difficiles à détecter et à supprimer. Le rootkit accorde à l’attaquant un accès persistant au niveau racine au système à chaque démarrage du système.
Les rootkits peuvent être installés pour diverses raisons. Parfois, un rootkit est utilisé pour installer plus de logiciels malveillants, parfois il est utilisé pour créer un ordinateur « zombie » dans un botnet qui peut être utilisé pour voler des clés de cryptage et des mots de passe, ou une combinaison de ceux-ci et d’autres vecteurs d’attaque.
Faire une vidéo du jour
Un rootkit au niveau du chargeur de démarrage (bootkit) remplace ou modifie un chargeur de démarrage légitime par l’une des conceptions de son attaquant, affectant l’enregistrement de démarrage principal, l’enregistrement de démarrage du volume ou d’autres secteurs de démarrage. Cela signifie que l’infection peut être chargée avant le système d’exploitation et peut donc interrompre tous les programmes de détection et de destruction.
Leur utilisation est en augmentation et les experts en sécurité ont remarqué certaines attaques contre les services monétaires, « Nemesis » étant l’un des écosystèmes malveillants récemment observés.
Briseur de sécurité ?
non, pas Star Trek Des films, mais une variante particulièrement désagréable du bootkit. L’écosystème de logiciels malveillants Nemesis dispose d’un large éventail de capacités d’attaque, notamment le transfert de fichiers, la capture d’écran, l’enregistrement des frappes, l’injection de processus, la manipulation de processus et la planification des tâches. FireEye, la société de cybersécurité qui a repéré Nemesis pour la première fois, a également déclaré que le malware comprend un système complet de support de porte dérobée qui prend en charge une gamme de protocoles réseau et de canaux de communication, et une fois installé, permet un meilleur contrôle et commande.
Dans les systèmes Windows, le Master Boot Record (MBR) stocke les informations relatives au disque, telles que le nombre et la disposition des partitions. Le MBR est essentiel au processus de démarrage et contient du code permettant de localiser la partition principale active. Une fois qu’il est trouvé, le contrôle est passé au Volume Boot Record (VBR) qui réside sur le premier secteur de chaque partition.
Le bootkit Nemesis détourne ce processus. Le logiciel malveillant crée un système de fichiers virtuel personnalisé qui stocke les composants Nemesis dans un espace non alloué entre les partitions, détournant le VBR d’origine en écrasant le code d’origine avec le sien dans un système appelé « BOOTRASH ».
« Avant l’installation, le programme d’installation BOOTRASH collecte des statistiques sur le système, y compris la version et l’architecture du système d’exploitation. Le programme d’installation est capable de déployer des versions 32 bits ou 64 bits des composants Nemesis, en fonction de l’architecture du processeur du système. Le programme d’installation installera le bootkit sur n’importe quel disque dur avec une partition de démarrage MBR, quel que soit le type spécifique de disque dur. Cependant, si la partition utilise le schéma de disque de la table de partition GUID, plutôt que le schéma de partition MBR, le logiciel malveillant ne pourra pas poursuivre l’installation processus. »
Ensuite, chaque fois que la partition est appelée, le code malveillant injecte le composant Nemesis en attente dans Windows. Ainsi, « l’endroit où le logiciel malveillant est installé signifie également qu’il persiste même après une réinstallation du système d’exploitation, ce qui est largement considéré comme le moyen le plus efficace d’éradiquer le logiciel malveillant », laissant une lutte difficile pour nettoyer le système.
Fait intéressant, l’écosystème de logiciels malveillants Nemesis inclut sa propre fonction de désinstallation. Cela restaurera le secteur de démarrage d’origine et supprimera le logiciel malveillant de votre système, mais uniquement si l’attaquant doit supprimer lui-même le logiciel malveillant.
Démarrage sécurisé UEFI
Le bootkit Nemesis a largement affecté les institutions financières afin de collecter des données et de siphonner des fonds. L’ingénieur principal en marketing technique d’Intel, Brian Richardson, n’est pas surpris par leur utilisation, notant que « les bootpacks et les rootkits MBR sont des vecteurs d’attaque de virus depuis l’époque de » insérez le disque dans A: et appuyez sur ENTER pour continuer « . Il poursuit en expliquant tandis que Nemesis est sans aucun doute un logiciel malveillant très dangereux, il peut ne pas affecter votre système domestique aussi facilement.
Les systèmes Windows créés au cours des dernières années peuvent être formatés avec une table de partition GUID, avec le micrologiciel sous-jacent basé sur UEFI. La création du système de fichiers virtuel BOOTRASH du logiciel malveillant repose en partie sur les interruptions de disque traditionnelles, qui n’existent pas sur les systèmes démarrés avec UEFI, tandis que la vérification de la signature UEFI Secure Boot bloque le bootkit pendant le processus de démarrage.
Ainsi, les nouveaux systèmes livrés avec Windows 8 ou Windows 10 préinstallés sont susceptibles d’être totalement exempts de cette menace, du moins pour le moment. Cependant, cela illustre un problème majeur avec les grandes entreprises qui ne mettent pas à jour leur matériel informatique.Les entreprises qui utilisent encore Windows 7, et dans de nombreux endroits toujours L’utilisation de Windows XP les expose, ainsi que leurs clients, à d’importantes menaces financières et de données.
poison, médicament
Les rootkits sont des opérateurs délicats. Ils sont passés maîtres dans l’obscurcissement, visant à contrôler le système le plus longtemps possible et à recueillir le plus d’informations possible entre-temps. Les sociétés d’antivirus et d’antimalware ont remarqué qu’il existe désormais de nombreux rootkits disponibles pour les utilisateurs pour supprimer des applications :
Même si la suppression réussit, de nombreux experts en sécurité s’accordent à dire que la seule façon d’être sûr à 99 % que votre système est propre est un formatage complet du lecteur – alors assurez-vous de sauvegarder votre système !
Avez-vous déjà rencontré un rootkit, voire un bootkit ? Comment as-tu nettoyé ton système ? Faites-nous savoir ci-dessous!
A propos de l’auteur
