L'expert français Jonathan Brossard, qui travaille pour la compagnie de sécurité Toucan, a montré comment le malware Rakshasa fonctionnait lors de la conférence Defcon samedi dernier, après l'avoir également présenté lors de la conférence Black Hat jeudi dernier. Rakshasa, nommé d'après un démon de la mythologie hindoue, n'est pas le premier virus capable de cibler le Bios. Toutefois, il se différencie des menaces similaires en utilisant de nouvelles astuces pour améliorer la persistance et échapper à la détection.
Il peut en outre infecter le firmware PCI d'autres périphériques comme les cartes réseau ou les CD-ROM, afin d'atteindre un degré élevé de redondance.

Aucun indice de sa présence lors du démarrage

Conçu entièrement à partir de briques logicielles Open Source, il remplace le Bios d'origine avec une combinaison de Coreboot et SeaBIOS et écrit un firmware de démarrage appelé iPXE sur la carte réseau de l'ordinateur. Tous ces composants ont été modifiés de sorte qu'ils ne donnent aucun indice de sa présence lors du processus de démarrage. "L'architecture informatique existante donne l'accès de la RAM à chaque périphérique" a déclaré Jonathan Brossard. "Le lecteur de CD-ROM peut très bien contrôler la carte réseau". "Cela signifie que même si quelqu'un venait à restaurer le Bios, le malware situé sur la carte réseau ou le CD-ROM pourrait toujours être utilisé pour reflasher le Bios" déclare Jonathan Brossard.

Une infection possible avant même la première utilisation

Selon le chercheur, la seule façon de se débarrasser du malware serait d'arrêter l'ordinateur et de reflasher manuellement tous les périphériques. Une méthode peu pratique pour la plupart des utilisateurs, car elle nécessite un équipement spécialisé et des connaissances avancées. "Ce malware prouve bien que le backdooring peut être fait avant même que l'ordinateur soit livré à l'utilisateur final" a affirmé le français avant de souligner que la plupart des ordinateurs, y compris les Mac, provenaient de Chine...

Toutefois, l'infection peut tout aussi bien être effectuée à distance. Ci cette méthode ne fonctionne pas dans tous les cas, certains périphériques PCI disposant d'un interrupteur physique devant être déplacé afin de flasher un nouveau firmware, Coreboot a la possibilité de charger un firmware PCI prenant le pas sur celui de la carte réseau et de contourner l'obstacle du commutateur physique.

Un programme indétectable

Si certains programmes malveillants stockent le code à l'intérieur du bootkit Master Boot Record (MBR) du disque dur, permettant une détection plus simple par les spécialistes en informatique, Rakshasa utilise le firmware iPXE pour télécharger le bootkit depuis un emplacement distant et le charger dans la RAM à chaque fois que l'ordinateur démarre. "Nous n'avons jamais toucher le système de fichiers," déclare le chercheur. Si vous envoyez le disque dur à une société pour leur demander d'effectuer une analyse, ils ne seront pas en mesure de le trouver", dit-il. La détection de ce type de compromis est très difficile, les programmes qui s'exécutent dans le système d'exploitation obtenant leurs informations à partir du noyau, lui même compromis.

Le firmware iPXE est capable de communiquer via Ethernet, WiFi ou Wimax et supporte une variété de protocoles, dont HTTP, HTTPS et FTP. Cela donne aux agresseurs potentiels de nombreuses d'options. Par exemple, Rakshasa peut envoyer les adresses IP et autres informations réseau des ordinateurs infectés vers une adresse e-mail prédéfini.
L'attaquant peut en outre pousser les mises à jour de configuration ou une nouvelle version du malware via une connexion HTTPS cryptée en communiquant directement avec le firmware de la carte réseau.