BlackLotus, UEFI bootkit, który jest sprzedawany na forach hakerskich za około 5000 dolarów, może teraz obejść Secure Boot, co czyni go pierwszym znanym złośliwym oprogramowaniem, które może działać na systemach Windows, nawet z włączoną funkcją bezpieczeństwa firmware.
Jak działa BlackLotus?
Secure Boot ma zapobiegać uruchamianiu nieautoryzowanego oprogramowania na maszynach Microsoftu. Jednak dzięki ukierunkowaniu na UEFI, złośliwe oprogramowanie BlackLotus ładuje się przede wszystkim w procesie rozruchu, w tym systemu operacyjnego i wszelkich narzędzi bezpieczeństwa, które mogłyby go powstrzymać.
Główny badacz bezpieczeństwa firmy Kaspersky, Sergey Lozhkin, po razpierwszy zauważył, że BlackLotus jest sprzedawany na giełdach cyberprzestępczych w październiku 2022 r., a specjaliści ds. bezpieczeństwa od tego czasu rozbierają go na części.
Mit stał się rzeczywistością
W opublikowanych dzisiaj badaniach, analityk złośliwego oprogramowania firmy ESET, Martin Smolár, twierdzi, że mit o dzikim bootkicie omijającym bezpieczne uruchamianie systemu “jest teraz rzeczywistością”, w przeciwieństwie do zwykłych fałszywych ogłoszeń przestępców próbujących oszukać swoich kolegów.
Najnowsze złośliwe oprogramowanie “jest w stanie działać nawet na w pełni aktualnych systemach Windows 11 z włączonym UEFI Secure Boot” – dodał.
BlackLotus wykorzystuje ponad roczną lukę, CVE-2022-21894, do obejścia procesu bezpiecznego rozruchu i ustanowienia trwałości. Microsoft naprawił tę lukę w styczniu 2022 roku, ale przestępcy wciąż mogą ją wykorzystać, ponieważ podpisane binarki nie zostały dodane do listy UEFI revocation, zauważył Smolár.
“BlackLotus wykorzystuje to, wprowadzając do systemu własne kopie legalnych – ale podatnych na atak – binariów w celu wykorzystania luki” – napisał.
Ponadto, proof-of-concept exploit dla tej luki jest publicznie dostępny od sierpnia 2022 roku, więc spodziewajcie się, że wkrótce zobaczycie więcej cyberprzestępców wykorzystujących ten problem do nielegalnych celów.
Dalsze zagrożenia
Co czyni go jeszcze trudniejszym do wykrycia: BlackLotus może wyłączyć kilka narzędzi bezpieczeństwa systemu operacyjnego, w tym BitLocker, Hypervisor-protected Code Integrity (HVCI) i Windows Defender, a także ominąć User Account Control (UAC) – podaje firma od zabezpieczeń.
Badacze nie przypisują złośliwego oprogramowania do konkretnego gangu lub grupy państwowej, ale zauważają, że analizowane przez nich instalatory BlackLotusa nie będą działać, jeśli zaatakowany komputer znajduje się w Armenii, Białorusi, Kazachstanie, Mołdawii, Rumunii, Rosji i Ukrainie.
Gdy BlackLotus wykorzysta CVE-2022-21894 i wyłączy narzędzia bezpieczeństwa systemu, wdraża sterownik jądra i downloader HTTP. Sterownik jądra m.in. chroni pliki bootkita przed usunięciem, natomiast downloader HTTP komunikuje się z serwerem command-and-control i wykonuje payload.
Badania nad bootkitem są następstwem odkrytych przez ESET wiosną ubiegłego roku luk w UEFI w laptopach Lenovo, które m.in. pozwalają atakującym wyłączyć secure boot.
“To była tylko kwestia czasu, kiedy ktoś wykorzysta te niepowodzenia i stworzy UEFI bootkit zdolny do działania na systemach z włączonym UEFI Secure Boot” – napisał Smolár.
Jeśli chcesz dowiedzieć się, jak bronić się przed takim zagrożeniem. Skontakuj się z nami i posłuchaj podpowiedzi naszych ekspertów.