Des spécialistes d’ESET développent une méthode d’apprentissage automatique pour découvrir des nouvelles menaces dans l’environnement UEFI
Publié le 08/10/2019 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
BRATISALVA, le 8 octobre 2019 – La sécurité UEFI (Unified Extensible Firmware Interface) est, depuis plusieurs années déjà, un sujet d’actualité. Mais en raison de diverses limitations, très peu de malwares présents dans l’environnement UEFI ont été découvert jusqu’ici. Après avoir découvert le premier rootkit UEFI ‘in-the-wild’, connu sous le nom de LoJax, les spécialistes d’ESET se sont mis à développer un système qui leur permettrait d’explorer le vaste paysage UEFI de manière efficace tout en repérant de façon fiable les menaces UEFI inconnues et émergentes.

Trouver du malware comme LoJax est rare - il y a des millions d’exécutables UEFI ‘in the wild’ et il n’y a qu’une petite partie qui est malveillante. « Rien qu’au cours des deux dernières années, nous avons vu plus de 2,5 millions d’exécutables UEFI uniques sur un total de 6 milliards, » explique Filip Mazán, ingénieur en logiciels chez ESET, qui a travaillé au développement du système d’apprentissage automatique.

Avec les données de télémétrie récoltées par le scanner UEFI d’ESET, les spécialistes en apprentissage automatique et les chercheurs en malware de la société ont conçu un pipeline pour traiter les exécutables UEFI en utilisant l’apprentissage automatique pour détecter les anomalies dans les échantillons entrants. « Pour réduire le nombre d’échantillons requérants l’attention humaine, nous avons conçu un système ‘sur mesure’ mettant en évidence les échantillons aberrants en trouvant les caractéristiques inhabituelles dans les exécutables UEFI, » ajoute Mazán.

Pour preuve, les chercheurs ont testé le système développé sur des exécutables UEFI suspects et malveillants qui n’avaient pas encore été inclus dans le dataset et plus particulièrement le pilote UEFI de LoJax. Avec succès, le système a conclu que le pilote LoJax est fort différent de tout ce qui avait été vu jusqu’alors. « Ce test réussi nous a donné la confiance nécessaire qui, au cas où une autre menace similaire émergerait, nous permettrait de l’identifier comme une bizarrerie, de l’analyser rapidement et de créer, si nécessaire, un système de détection, » commente Mazán.

En plus de démontrer de fortes capacités d’identification d’exécutables UEFI suspects, l’approche ‘apprentissage automatique’ a prouvé qu’elle réduisait la charge de travail des analystes d’ESET d’environ 90% (s’ils devaient analyser chaque échantillon entrant). Puisque chaque nouvel exécutable UEFI entrant est ajouté au dataset, traité, indexé et pris en compte pour les échantillons entrants par la suite, la solution permet une surveillance en temps réel du paysage UEFI.

En utilisant ce système pour rechercher les menaces UEFI, les chercheurs d’ESET ont découvert de nombreux composants UEFI intéressants qui peuvent être classés en deux catégories : les « backdoors » (portes dérobées) UEFI et les modules persistants au niveau du systèmes d’exploitation. « Alors que notre pipeline de traitements des exécutables UEFI n’a pas encore réussi à trouver de nouveaux malwares UEFI, les résultats obtenus jusqu’à présent sont prometteurs » déclare Jean-Ian Boutin, chercheur senior en malware chez ESET. La découverte la plus remarquable est la porte dérobée ASUS : une porte dérobée d’un microprogramme UEFI, trouvée sur plusieurs modèles de laptops ASUS. Celle-ci a été corrigée par ASUS dès qu’ESET le lui a notifié.

Pour en savoir plus au sujet de ces recherches faites par ESET, visitez “Needles in a haystack: Picking unwanted UEFI components out of millions of samples”, sur le blog post

www.WeLiveSecurity.com.

Pour plus d’information sur l’offre de sécurité d’ESET et l’e-book gratuit, rendez-vous sur https://www.eset.com/be-fr/professionnels/data-protection-ebook/

Poster un commentaire
Vous devez être identifié pour accéder à cette fonctionnalité

Utilisateur
Mot de passe
 
Informaticien.be - © 2002-2024 AkretioSPRL  - Generated via Kelare
The Akretio Network: Akretio - Freedelity - KelCommerce - Votre publicité sur informaticien.be ?