ESET Research анализирует BlackLotus: буткит UEFI, который может обходить безопасную загрузку UEFI в полностью пропатченных системах
Исследователи ESET первыми опубликовали анализ буткита UEFI, способного обходить важную функцию безопасности платформы — безопасную загрузку UEFI. Функциональность буткита и его отдельные особенности заставляют ESET Research полагать, что это угроза, известная как BlackLotus, буткит UEFI, который продается на хакерских форумах за 5000 долларов США по крайней мере с октября 2022 года. Этот буткит может работать даже при полной загрузке. современные системы Windows 11 с включенной безопасной загрузкой UEFI.
- Исследователи ESET первыми опубликовали анализ BlackLotus, первого в мире буткита UEFI, способного обойти важную функцию безопасности платформы — UEFI Secure Boot.
- Этот буткит UEFI продается на хакерских форумах за 5000 долларов США как минимум с октября 2022 года и может работать даже на полностью обновленных системах Windows 11 с включенной функцией безопасной загрузки UEFI.
- Буткит использует уязвимость более чем годовалой давности (CVE-2022-21894), чтобы обойти UEFI Secure Boot и настроить постоянство для буткита. Это первое публично известное фактическое злоупотребление этой уязвимостью.
- Уязвимость была исправлена в обновлении Microsoft от января 2022 года; однако его эксплуатация по-прежнему возможна и может позволить отключить механизмы безопасности операционной системы, такие как BitLocker, HVCI и Защитник Windows.
- BlackLotus прост в развертывании и может быстро распространиться, если попадет в руки криминальных групп.
- Некоторые из проанализированных ESET установщиков BlackLotus не продолжают установку буткита, если скомпрометированный хост использует одну из следующих локалей: Армения, Беларусь, Казахстан, Молдова, Россия или Украина.
«Наше расследование началось с нескольких обращений к тому, что оказалось (с высокой степенью достоверности) компонентом пользовательского режима BlackLotus — загрузчиком HTTP — в нашей телеметрии в конце 2022 года. После первоначальной оценки шаблоны кода, обнаруженные в образцы привели нас к обнаружению шести инсталляторов BlackLotus. Это позволило нам изучить всю цепочку выполнения и понять, что мы имеем дело не с обычным вредоносным ПО», —
говорит Мартин Смолар, исследователь ESET, руководивший расследованием буткита.
Буткит использует уязвимость более чем годовалой давности (CVE-2022-21894), чтобы обойти UEFI Secure Boot и настроить постоянство для буткита. Это первое публично известное фактическое злоупотребление этой уязвимостью. Хотя уязвимость была исправлена в обновлении Microsoft за январь 2022 года, ее использование по-прежнему возможно, поскольку затронутые, действительно подписанные двоичные файлы до сих пор не добавлены в список отзыва UEFI. BlackLotus использует это в своих интересах, добавляя в систему собственные копии законных, но уязвимых двоичных файлов, чтобы использовать уязвимость.
BlackLotus может отключать механизмы безопасности операционной системы, такие как BitLocker, HVCI и Защитник Windows. После установки основной целью буткита является развертывание драйвера ядра (который, среди прочего, защищает буткит от удаления) и HTTP-загрузчика, отвечающего за связь с сервером управления и контроля и способного загружать дополнительные файлы пользовательского режима или ядра. полезные нагрузки режима. Интересно, что некоторые установщики BlackLotus, проанализированные ESET, не продолжают установку буткита, если скомпрометированный хост использует локали из Армении, Беларуси, Казахстана, Молдовы, России или Украины.
BlackLotus рекламируется и продается на подпольных форумах как минимум с начала октября 2022 года. «Теперь мы можем представить доказательства того, что буткит настоящий, а реклама — не просто мошенничество», — говорит Смолар. «Небольшое количество образцов BlackLotus, которые мы смогли получить как из общедоступных источников, так и из нашей телеметрии, заставляет нас полагать, что немногие злоумышленники еще не начали его использовать. Мы обеспокоены тем, что ситуация быстро изменится, если этот буткит попадет в руки преступных группировок, учитывая простоту развертывания буткита и возможности криминальных групп распространять вредоносное ПО с помощью своих ботнетов».
За последние несколько лет было обнаружено множество критических уязвимостей, влияющих на безопасность систем UEFI. К сожалению, из-за сложности всей экосистемы UEFI и связанных с ней проблем с цепочками поставок многие из этих уязвимостей сделали системы уязвимыми даже спустя долгое время после того, как уязвимости были устранены… или, по крайней мере, с тех пор, как нам сказали, что они были устранены.
Буткиты UEFI представляют собой очень мощные угрозы, имеющие полный контроль над процессом загрузки операционной системы и, таким образом, способные отключать различные механизмы безопасности операционной системы и развертывать собственные полезные нагрузки режима ядра или пользовательского режима на ранних этапах загрузки. Это позволяет им действовать очень скрытно и с высокими привилегиями. До сих пор в дикой природе были обнаружены и публично описаны лишь некоторые из них. Буткиты UEFI могут проигрывать в скрытности по сравнению с имплантатами встроенного ПО, такими как LoJax, первый имплантат встроенного ПО UEFI, обнаруженный ESET Research в 2018 году, поскольку буткиты расположены на легкодоступном разделе диска FAT32. Однако запуск в качестве загрузчика дает им почти те же возможности, без необходимости преодолевать несколько уровней функций безопасности, защищающих от имплантации прошивки.
«Лучший совет, конечно же, — поддерживать вашу систему и ее продукты безопасности в актуальном состоянии, чтобы повысить вероятность того, что угроза будет остановлена в самом начале, до того, как она сможет достичь устойчивости до операционной системы»,
— заключает Смолар
Ваши контактные данные не публикуются на сайте.