Persistent Bios Infection

– Date : 26 Mars 2009

– Plateforme : Toutes

– Description :

Lors de l’événement CanSecWest à Vancouver, les chercheurs Alfredo Ortega et Anibal Sacco ont présenté lors d’une conférence, une nouvelle technique permettant à un malware d’être présent sur un système même après le formatage du disque dur.

Cette méthode s’appuie sur le BIOS des cartes mères. Le BIOS est un ensemble de fonctions basiques stockées dans la mémoire morte (ROM) prenant effet lors de la mise sous-tension d’un équipement. On y retrouve également le firmware de la carte mère, système permettant de gérer la configuration de celle-ci.

Contrairement aux anciens malwares également stockés dans le BIOS, celui-ci n’utilise pas les instructions ACPI (Advanced Configuration and Power Interface). L’utilisation de ces instructions permettait la plupart du temps de signaler un comportement anormal trahissant alors la présence d’un malware.
En ne se servant pas de ces instructions, mais en codant eux même leurs instructions, ce nouveau malware est quasi-indétectable avec les outils actuels.

Cette nouvelle méthode est indépendante du système d’exploitation utilisé. En effet, les chercheurs ont réalisé une maquette sous un système Windows ainsi que sur un système OpenBSD pour démontrer leur trouvaille.

Ce malware, difficile à mettre en place permet toutefois d’être persistant et indétectable à l’heure actuelle.

– Référence :

http://www.coresecurity.com/content/Persistent-Bios-Infection

http://www.coresecurity.com/files/attachments/Persistent_BIOS_Infection_CanSecWest09.pdf

– Lien extranet XMCO Partners :

http://xmcopartners.com/veille/client/index.xmco?nv=1238067121