Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



Stoned Bootkit v 2.0 disponible pour contourner le chiffrement TrueCrypt

Par Rédaction, secuobs.com
Le 01/09/2009


Résumé : Stoned Bootkit est une preuve de concept modulaire permettant de contourner le chiffrement TrueCrypt d'un disque dur et cela notamment à partir du moment où l'on a un accès physique à l'ordinateur ciblé. La version 2.0, disponible au téléchargement, est placée sous une licence Open Source,.



Suite à la présentation ( lien ) de Peter Kleissner lors de la Black Hat USA 09 et à la controverse ( lien ) alimentée par les équipes de TrueCrypt ( lien ) sur son réel intérêt, la version 2.0 de Stoned Bootkit est maintenant disponible publiquement ( lien ).

Pour rappel, Stoned Bootkit est un code Open Source malicieux localisé au sein du secteur de boot MBR ( lien ), comme vBootkit ( lien ). Il sera donc chargé par le BIOS avant même le lancement du système, lui laissant ainsi la possibilité de compromettre ce dernier. Un de ses intérêts principaux consiste à être à même de contourner la technologie de chiffrement FDE ( Full Disk Encryption - lien ) de TrueCrypt.

Le MBR, en cas de FDE, n'est jamais chiffré vu qu'il est en charge du code responsable du déchiffrement du disque et cela avant même le chargement du système d'exploitation. Il existe dès lors deux scénarios possibles qui dépendent du fait que la partition système soit la seule qui soit chiffrée, ou que ce soit l'ensemble du disque dur qui le soit. Dans le premier cas, le stockage des données additionnelles (modules, MBR d'origine, ...) peut être réalisé en dehors de l'espace réservé au MBR, mais pas dans le second.

A savoir également que Stoned Bootkit supporte les partitions FAT et NTFS à l'aide de ses propres pilotes embarqués et qu'un de ses principaux avantages reste celui d'offrir une architecture modulaire et ouverte autorisant le développement et l'ajout de composants personnalisés. Cependant l'intérêt actuel de Stoned Bootkit, outre celui de la recherche, reste tout de même limité en pratique de par le fait qu'il nécessite un accès physique ou des droits préalables d'administration pour son installation.

Une vidéo de démonstration de l'attaque TrueCrypt sur un système Windows 7 RC est par ailleurs disponible ( lien ) pour se rendre compte de son efficacité. Les solutions matérielles de chiffrement s'avèrent quant à elles n'être efficaces qu'à l'encontre de l'infection par accès physique, celle d'un système en exécution restant toujours possible.

Stoned Bootkit a été testé comme fonctionnel à l'encontre des systèmes d'exploitation de type Microsoft Microsoft Windows 2000 SP4, Windows XP SP2, Windows XP SP3, Windows Server 2003, Windows Server 2003 R2 SP2, Windows Vista, Windows Vista SP1, Windows Server 2008, Windows 7 Build 6801, Windows 7 Beta, Windows 7 RC et Windows 7, cela avec un seul et unique exemplaire de MBR.

Il est de plus possible de créer des Live CD personnalisés contenant l'ensemble des éléments nécessaires et des codes propres (Sniffer, Keylogger, cheval de Troie). Pour se faire, l'environnement Windows PE ( lien ), qui se trouve dans le kit Windows AIK ( Automated Installation Kit - lien ), peut être utilisé. Un exemple de Live CD est disponible en libre téléchargement ( lien ), alors que les autres médias traditionnels pour le Boot sont supportés.

La prochaine version devrait supporter les architectures 64-bit, alors que les systèmes GNU/Linux sont en cours d'expérimentation et que de possibles infections persistantes du BIOS ( lien ) sont envisagées, au même titre que celles de l'ensemble des supports média présents. La gravure automatique de l'agent d'infection vers un CDROM dès son insertion dans un ordinateur déjà infecté est par exemple un axe de développement évoqué.

Source : Vidéo « Stoned Vienna Bootkit Introduction » ( lien ) & blog de Stoned Bootkit ( lien )