Si la sécurité UEFI (Unified Extensible Firmware Interface) est sur toutes les lèvres depuis plusieurs années, la détection des malwares UEFI reste malheureusement rare, en raison de plusieurs facteurs. Après avoir découvert LoJax, le premier rootkit UEFI en accès libre, les spécialistes d’ESET ont décidé de développer un système capable d’analyser le domaine de l’UEFI, tout en identifiant efficacement les menaces émergentes ou inconnues.
« Les malwares comme LoJax sont très rares : en effet, sur des millions d’exécutables UEFI, seule une minorité présente des caractéristiques malveillantes. Au cours des deux dernières années, nous avons détecté plus de 2,5 millions d’exécutables UEFI uniques, sur 6 milliards au total », explique Filip Mazán, ingénieur logiciel chez ESET et membre du projet de développement du nouvel algorithme de machine learning.
En se basant sur les données de télémétrie collectées par le détecteur UEFI d’ESET, nos spécialistes du machine learning et des malwares ont mis en place un processus de traitement unique aux exécutables UEFI basé sur le machine learning, dans l’optique de détecter les anomalies au sein des échantillons. « Pour réduire le nombre d’échantillons nécessitant une vérification humaine, nous avons décidé de développer un système sur mesure capable d’identifier les échantillons aberrants grâce aux caractéristiques anormales des exécutables UEFI », ajoute M. Mazán.
Dans le cadre de leur démonstration de faisabilité, les spécialistes ont testé leur nouveau système sur des exécutables UEFI malveillants et suspects déjà connus, mais jamais inclus dans l’ensemble de données, avec par exemple le pilote UEFI LoJax. L’algorithme est parvenu à identifier les caractéristiques inédites de LoJax. « Ce test est une réussite : nous estimons que notre solution sera capable d’identifier d’autres menaces UEFI émergentes en fonction de la nouveauté de leurs caractéristiques, puis de les analyser rapidement pour développer un système de détection opérationnel », conclut-il.
En parallèle à ses bonnes capacités de détection des exécutables UEFI suspects, ce programme de machine learning a également réduit la charge de travail des analystes ESET de 90 % (s’ils étaient contraints d’analyser manuellement chaque échantillon entrant). Comme chaque nouvel exécutable est ajouté à l’ensemble de données, traité, indexé et pris en compte dans les analyses suivantes, la solution permet de surveiller l’évolution du domaine UEFI en temps réel.
En l’utilisant pour détecter les nouvelles menaces, les chercheurs d’ESET ont mis en lumière plusieurs composants UEFI significatifs dans deux catégories distinctes : les backdoors dans le firmware UEFI et les modules de persistance pour les systèmes d’exploitation. « Pour l’instant, notre processus de traitement des exécutables UEFI n’a pas détecté de nouveaux malwares UEFI, mais nous sommes satisfaits des résultats obtenus jusqu’à présent », déclare Jean-Ian Boutin, chercheur principal spécialiste des malwares chez ESET. Le système est parvenu à identifier une vulnérabilité importante : suite à la détection d’une backdoor dans le firmware UEFI de certains ordinateurs portables ASUS, ESET a informé la marque, qui a ensuite résolu le problème.
Pour en savoir plus sur les initiatives de recherche d’ESET, consultez l’article« Needles in a haystack: Picking unwanted UEFI components out of millions of samples » sur WeLiveSecurity.com.