BlackLotus恶意软件绕过Windows 11安全启动实现UEFI Bootkit

一个名为BlackLotus的UEFI bootkit已成为第一个能够绕过windows安全启动机制的公开恶意软件，使其成为网络环境中的一个强大威胁。

ESET在与The Hacker News分享的一份报告中说：“这个bootkit甚至可以在启用了 UEFI 安全启动的完全最新的 Windows 11 系统上运行。”

UEFI bootkit部署在系统固件中，允许完全控制操作系统 (OS) 启动过程，从而可以禁用操作系统级别的安全机制并在启动期间以高权限部署任意负载。

以5,000美元（以及每个新的后续版本 200 美元）的价格出售，功能强大且持久的工具包使用 Assembly和C进行编程，大小为80 KB。它还具有地理围栏功能，可以避免感染亚美尼亚、白俄罗斯、哈萨克斯坦、摩尔多瓦、罗马尼亚、俄罗斯和乌克兰的计算机。

有关BlackLotus的详细信息于2022年10月首次出现，卡巴斯基安全研究员Sergey Lozhkin将其描述为一种复杂的犯罪软件解决方案。

Eclypsium的Scott Scheferman表示：“这代表了一点‘飞跃’，在易用性、可扩展性、可访问性方面，最重要的是，以持久性、逃避和/或破坏的形式产生更大影响的潜力”。

简而言之，BlackLotus 利用一个被追踪为CVE-2022-21894（又名Baton Drop的安全漏洞来绕过 UEFI 安全启动保护并设置持久性。微软在其2022年1月补丁星期二更新中解决了该漏洞。

根据ESET的说法，该漏洞的成功利用允许在早期启动阶段执行任意代码，从而允许威胁行为者在启用 UEFI 安全启动的系统上执行恶意操作，而无需对其进行物理访问。

ESET 研究人员 Martin Smolár 说：“这是第一次公开地滥用此漏洞。”“它的利用仍然是可能的，因为受影响的、有效签名的二进制文件仍未添加到UEFI撤销列表中。”

“BlackLotus 利用这一点，将其自己的合法但易受攻击的二进制文件副本带到系统中以利用该漏洞，”有效地为自带易受攻击的驱动程序 (BYOVD) 攻击铺平了道路。

除了可以关闭 BitLocker、Hypervisor 保护的代码完整性 (HVCI) 和 Windows Defender 等安全机制外，它还设计用于删除内核驱动程序和与命令和控制 (C2) 服务器通信的 HTTP 下载程序，以检索其他用户模式或内核模式恶意软件。

用于部署bootkit的确切操作方式目前尚不清楚，但它从一个安装程序组件开始，该组件负责将文件写入 EFI 系统分区，禁用 HVCI 和 BitLocker，然后重新启动主机。

重启之后是武器化CVE-2022-21894以实现持久化并安装bootkit，之后在每次系统启动时自动执行以部署内核驱动程序。

虽然驱动程序的任务是启动用户模式 ​​HTTP 下载程序并运行下一阶段的内核模式有效负载，但后者能够执行通过 HTTPS 从 C2 服务器接收的命令。

这包括下载和执行内核驱动程序、DLL或常规可执行文件并获取bootkit更新，甚至从受感染的系统中卸载bootkit。

“在过去几年中，已经发现了许多影响 UEFI 系统安全的关键漏洞，”Smolár 说。“不幸的是，由于整个 UEFI 生态系统的复杂性和相关的供应链问题，即使在漏洞被修复很长时间之后，或者至少在我们被告知它们已被修复之后，许多这些漏洞仍然使许多系统容易受到攻击。”

“有人会利用这些故障并创建能够在启用了 UEFI 安全启动的系统上运行的 UEFI 启动套件，这只是时间问题。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4538.html