TrickBot inquiète car il peut altérer le firmware de votre BIOS

Les chercheurs en sécurité sont inquiets car une nouvelle fonctionnalité du malware TrickBot pourrait altérer le firmware du BIOS de votre machine. Autrement dit, même après une réinstallation du système d'exploitation, le logiciel malveillant serait toujours présent sur votre machine.

TrickBot n'est pas nouveau, il est notamment impliqué dans la chaîne de diffusion du ransomware Ryuk. Ce qui est nouveau, c'est un module qu'il intègre et qui a été découvert pour la première fois fin octobre. Cette information est remontée par les sociétés Advanced Intelligence et Eclypsium dans un rapport publié jeudi dernier, où l'on apprend que TrickBot a la capacité d'être persistant.

Au-delà de la persistance du malware même après réinstallation de l'OS, la modification du firmware a d'autres conséquences, notamment :

  • La possibilité de contourner les contrôles de sécurité des antivirus, EDR, de BitLocker ou encore de Credential Guard
  • Le déni de service à distance grâce à cette connexion directe avec le firmware
  • Etc.

Pour le moment, TrickBot n'a pas était pris en action en train de modifier le firmware d'une machine, il se contenterai d'effectuer des actions de lecture. Néanmoins, il intègre déjà le code nécessaire à la lecture, modification et effacement du firmware en exploitant le pilote RwDrv.sys de l'outil RWEverything. Cette fonctionnalité redoutable permettrait à TrickBot de conserver un accès persistant au sein des réseaux infectés. Les chercheurs en sécurité de chez Advanced Intelligence et Eclypsium précise que les possibilités sont presque illimitées à partir du moment où le firmware est altéré.

Après un démantèlement raté, les pirates derrière TrickBot semblent bien décidé à le rendre plus puissant que jamais en intégrant de nouvelles fonctionnalités. Il bénéficie également d'une nouvelle infrastructure pour les serveurs C&C (Command and Control) et de nouvelles techniques d'obscurcissement du code sont utilisées. Enfin, il est utilisé dans des campagnes de spam et peut mener à une infection de votre infrastructure par le ransomware Ryuk comme charge finale, comme l'a évoqué récemment l'ANSSI.

TrickBot
Source de l'image : Advanced Intelligence

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau et cofondateur d'IT-Connect. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian a publié 3119 articlesVoir toutes les publications de cet auteur

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.