BlackLotus : Un puissant bootkit capable de contourner le Secure Boot UEFI découvert par ESET Research
Un bookit nommé BlackLotus a été découvert par ESET Research. Il est capable de contourner une fonction essentielle de l’OS, l’UEFI (Unified Extensible Firmware Interface) Secure Boot. Le bootkit se sert d’une vulnérabilité datant de plus d’un an et peut fonctionner sur Windows 11. L'objectif principal de BlackLotus, après son installation, est de lancer le déploiement d'un pilote de kernel, qui sert à protéger le bootkit contre toute tentative d'élimination. Il diffuse également un téléchargeur HTTP qui sert à communiquer avec le serveur de commande et de contrôle et qui a la capacité de télécharger d'autres charges utiles en mode utilisateur ou en mode kernel.
Selon les chercheurs de ESET Research, il est vendu sur les forums pirates pour 5 000 $ US depuis le mois d' octobre 2022. « Notre enquête a commencé avec quelques détections de ce qui s'est avéré être (avec un niveau de confiance élevé) le composant utilisateur BlackLotus, un téléchargeur HTTP dans notre télémétrie à la fin de l'année 2022. Après une évaluation initiale, les similitudes de code trouvés dans les échantillons nous ont conduit à la découverte de six installateurs de BlackLotus. Cela nous a permis d'explorer l'ensemble de la chaîne d'exécution et de réaliser que nous n'avons pas ici un simple un malware» a laissé entendre, le chercheur d'ESET qui a dirigé l'enquête sur le bootkit.
Le faible nombre d'échantillons de BlackLotus obtenu par les chercheurs à la fois à partir de sources publiques et de du télémétrie, a conduit à croire que peu d'acteurs de la menace ont commencé à l'utiliser pour le moment. Le pire serait qu’il atterrisse à la portée des groupes de cybercriminels, compte tenu de la facilité de déploiement du bootkit et des capacités des groupes de criminels informatiques à propager des logiciels malveillants à l'aide de leurs botnets. Tout porte à croire que les bootkits UEFI sont des menaces très puissantes à ne pas sous estimées. Microsoft l’avait bien corrigée en janvier 2022, mais aurait oublié d’ajouter les binaires concernés à la liste de révocation UEFI.
Quelles solutions pour neutraliser BlackLotus ?
Blacklotus est très furtif et dispose de nombreuses protections anti-suppression. Ce qui rend difficile son éradication. Lorsqu'une machine est infectée par BlackLotus, le bootkit va chercher à déployer un pilote dans le kernel de manière à être persistant et à être protégé contre les tentatives de suppression. Ce bookit est doté de capacités lui permettant de communiquer en HTTP(S) avec un serveur de Command & Control piloté par les cybercriminels. Cela lui permet de télécharger d'autres malwares.
Néanmoins les chercheurs pensent avoir découvert une faille dans la façon dont le téléchargeur HTTP transmet les commandes au pilote du noyau ce qui pourrait permettre de supprimer le bootkits. Toutefois la meilleur solution pour l’heure est de maintenir les systèmes et son produit de sécurité à jour pour augmenter la chance qu'une menace soit arrêtée dès le début, avant qu'elle ne puisse atteindre la persistance pré-OS.
Christelle HOUETO
Journaliste digital