Le microimplant de firmware UEFI le plus raffiné : Détection de MoonBounce
Table des matières :
Un implant malveillant récemment créé pour le micrologiciel UEFI, surnommé « MoonBounce », ravage dans la nature. La menace est censée être l’œuvre d’un groupe de hackers APT41 parlant chinois, également connu sous le nom de Double Dragon ou Winnti. Ce rootkit UEFI est conçu pour faire sensation, ayant déjà obtenu le titre de l’attaque la plus furtive de ce type. Le fait qu’il soit dirigé par le célèbre APT41, qui aurait des liens avec le gouvernement, ne facilite pas la tâche des professionnels de la sécurité.
Attaques signalées comme MoonBounce
MoonBounce est le troisième logiciel malveillant largement connu à être distribué via un bootkit UEFI découvert dans la nature. Ses prédécesseurs, des échantillons notoires appelés LoJax et MosaicRegressor, ont prouvé leur potentiel dangereux en tant qu’outils très efficaces pour des cyberattaques rapides et difficilement traçables. Tout d’abord, une introduction sur UEFI en bref. L’abréviation signifie Unified Extensible Firmware Interface, qui est une technologie moderne intégrée dans des puces placées sur une carte mère. Conçu pour remplacer le BIOS ancien (tout en restant compatible avec celui-ci), l’UEFI répond à un certain nombre de ses limitations et est couramment utilisé pour faciliter la séquence de démarrage de la machine et charger le système d’exploitation. L’UEFI est devenu une cible très lucrative pour les adversaires, car il permet des attaques très persistantes.
Le novice MoonBounce marque une étape importante dans l’évolution des rootkits UEFI, avec une chaîne de destruction bien pensée et un flux d’exécution convaincant. Du côté positif, ce type d’infection est plutôt ciblé et, avec les outils de sécurité et la stratégie appropriés, il peut être protégé.
Exécution de MoonBounce
Découvert par les chasseurs de menaces de Kaspersky Lab en 2021, ce logiciel malveillant avancé et difficile à détecter est connu pour fonctionner dans la mémoire flash SPI de l’appareil ciblé. Un placement réussi permet aux acteurs malveillants de prendre le contrôle de la séquence de démarrage de la machine infectée, ajoutant des modifications nuisibles au micrologiciel UEFI légitime. Une machine infectée par MoonBounce possède un implant qui persiste dans un format de disque et fonctionne uniquement en mémoire, devenant ainsi intraçable sur le disque dur. La chaîne d’infection conduit à l’injection du logiciel malveillant dans un processus svchost.exe lors du démarrage de l’ordinateur dans le système d’exploitation. En conséquence, le code malveillant est déployé, permettant aux hackers de déposer et d’exécuter des charges utiles supplémentaires.
Pouvoir exécuter du code malveillant à une phase aussi précoce du processus d’initialisation est une excellente nouvelle pour le côté obscur, alias les hackers. Compte tenu de l’absence de toute solution de prévention efficace fonctionnant à ce niveau, tel qu’un antivirus ou un logiciel de détection d’intrusion, ils prennent une longueur d’avance une fois dans le système.
Détection et atténuation des attaques MoonBounce
Alors que cette nouvelle menace furtive progresse pour compromettre le micrologiciel UEFI, nous encourageons les organisations à s’armer et à rechercher des anomalies prouvant qu’elles ont été compromises pour se protéger contre les écritures non autorisées dans la mémoire flash SPI du système. Pour identifier les attaques possibles et remédier à une compromission basée sur le micrologiciel UEFI, optez pour le téléchargement d’un ensemble de règles Sigma gratuites. Le contenu a été publié par nos développeurs avides de Threat Bounty Emir Erdogan, Kaan Yeniyol, Kyaw Pyiyt Htet, et l’équipe SOC Prime Team.
Détection du StealthMutant Loader d’APT41 (via Cmdline)
Détecter le StealthMutant Loader (Attaque MoonBounce)
Indicateurs réseau du Bootkit de micrologiciel MoonBounce (via dns)
Indicateurs réseau du Bootkit de micrologiciel MoonBounce (via proxy)
Ces détections ont des traductions pour les plateformes SIEM, EDR & XDR suivantes : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Securonix, et Open Distro.
La liste complète des détections MoonBounce dans le dépôt Threat Detection Marketplace de la plateforme SOC Prime est disponible ici.
Inscrivez-vous gratuitement à la plateforme Detection as Code de SOC Prime pour détecter les dernières menaces dans votre environnement de sécurité, améliorer la couverture des sources de logs et de MITRE ATT&CK, et globalement, renforcer les capacités de défense cybernétique de l’organisation. Vous avez des ambitions élevées en cybersécurité ? Rejoignez notre programme Threat Bounty, développez vos propres règles Sigma et obtenez des récompenses récurrentes pour votre précieuse contribution !
