ESPecter, un bootkit UEFI persistant découvert par les chercheurs d’ESET

Derrière le nom ESPecter, se cache un méchant bootkit UEFI persistant sur la partition système EFI (appelée aussi "ESP") découvert par les chercheurs de chez ESET. Jusqu'ici il était inconnu et pourtant il semble bien actif.

D'après les chercheurs de chez ESET, ESPecter serait utilisé pour réaliser de l'espionnage, car il est doté de capacités qui vont en ce sens : il est capable de voler des documents, de prendre des captures d'écran à intervalle régulier et d'enregistrer toutes les touches saisies au clavier. Ensuite, ses fonctions d'exfiltration automatiques permettent d'envoyer les informations récoltées.

Sous Windows, ESPecter va tromper le composant Microsoft Windows Driver Signature Enforcement pour charger son propre pilote non signé et être actif une fois le système démarré. Dès lors que la machine est infectée par ESPecter, cette infection devient persistante et se charge avant chaque démarrage du système, car ESPecter injecte une version modifiée de Windows Boot Manager (bootmgfw.efi).

Il agit comme un implant au sein du micrologiciel UEFI et il a besoin que le Secure Boot soit inactif pour obtenir la persistance sur la machine. Pour cela, l'attaquant peut utiliser plusieurs méthodes : réaliser une action physique sur la machine, exploiter une vulnérabilité connue ou inconnue publiquement pour bypasser le Secure Boot, ou tomber sur une machine où le Secure Boot est déjà inactif.

Pour le moment, il reste une inconnue : comment ESPecter fait-il pour arriver sur la machine et l'infecter.

Si l'on regarde le schéma ci-dessous, on peut voir que le bootkit ESPecter est capable de transférer son exécution pendant les différentes phases de démarrage du système Windows afin d'être actif une fois la machine complètement démarrée.

À gauche, le processus de démarrage classique de Windows avec l'UEFI. À droite, le processus de démarrage sur une machine infectée par ESPecter.

Grâce aux informations de télémétrie, ESET a pu retracer l'historique d'ESPecter. Il serait actif au moins depuis 2012 et à l'époque il s'attaquait à des machines équipées d'anciens BIOS. Ensuite, il a été mis à niveau en 2020 pour s'attaquer à l'UEFI des machines et les différences entre les deux versions seraient mineures.

Rendez-vous sur le blog We Live Security d'ESET pour lire l'analyse très complète au sujet d'ESPecter.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3272 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.