ESET 發現 了BlackLotus 惡意軟件:首個可在 Win11 上

  網絡滲透測試     |      2023-03-29 09:30

ESET 的安全研究人員近日發現了一種劫持 UEFI 的惡意軟件,并將其命名為 BlackLotus。該惡意軟件是首個可以在 Win11 系統上繞過 Secure Boot 的 UEFI bootkit 惡意軟件。這個 bootkit 利用 UEFI 安全啟動的 Nday 漏洞繞過安全啟動并在啟動過程中加載惡意的內核模塊。設備一旦感染該惡意軟件,就會在 Win11 系統中禁用 Defender、Bitlocker 和 HVCI 等防病毒軟件。

BlackLotus UEFI bootkit

近年來發現的 UEFI 漏洞數量以及在合理的時間窗口內修復或取消易受攻擊的二進制文件的失敗都沒有引起攻擊者的注意。因此,第一個公開的繞過基本平臺安全功能的 UEFI ? bootkit —— UEFI Secure Boot ——現在已經成為現實。在這篇文章中,研究人員首次公開分析了該 UEFI ? bootkit,它能夠在啟用了 UEFI Secure Boot 的最新 Windows 11 系統上運行。bootkit 的功能及其單獨的功能使研究人員相信研究人員正在處理一個被稱為 BlackLotus 的 ? bootkit,UEFI ? bootkit 至少從 2022 年 10 月起就開始在黑客論壇上以 5000 美元的價格出售。

UEFI ? bootkit 的破壞性很大,它完全控制系統啟動過程,因此能夠禁用各種系統安全機制,并在系統啟動的早期階段部署自己的內核模式或用戶模式有效負載。這使得他們可以非常隱秘地行動,并擁有很高的權限。到目前為止,只有少數幾個在野外被發現并被公開報道,例如,研究人員在 2020 年發現的多個惡意 EFI 樣本,或功能齊全的 UEFI ? bootkit,如研究人員去年發現的 ESPecter ? bootkit,或卡巴斯基研究人員發現的 FinSpy ? bootkit。

與固件植入(如 LoJax)相比,UEFI ? bootkit 可能在隱蔽性方面有所下降。研究人員的團隊于 2018 年發現了第一個野外 UEFI 固件植入,因為 bootkit 位于易于訪問的 FAT32 磁盤分區上。然而,作為啟動加載程序運行可以提供與固件植入幾乎相同的功能,但無需克服多級 SPI 閃存防御,如 BWE、BLE 和 PRx 保護位,或硬件提供的保護(如 Intel Boot Guard)。當然,UEFI Secure Boot 阻礙了 UEFI ? bootkit,但有一些不可忽視的已知漏洞可以繞過這一基本的安全機制。最糟糕的是,截止發文時,其中一些漏洞仍然很容易在最新系統上被利用,包括 BlackLotus 所利用的漏洞。

研究人員的調查始于對 2022 年末監測中的 BlackLotus 用戶模式組件(一個 HTTP 下載器)的一些點擊。經過初步評估,樣本中發現的代碼模式使研究人員發現了六個 BlackLotus 安裝程序(包括 VirusTotal 和研究人員自己的遙測)。這使研究人員能夠探索整個執行鏈,并意識到研究人員在這里處理的不僅僅是常規的惡意軟件。

以下是有關 BlackLotus 的要點,以及與之相關的一系列事件的時間表:

1. 它能夠在啟用 UEFI Secure Boot 的最新、完全修復的 Windows 11 系統上運行;

2. 它利用一個超過一年的漏洞(CVE-2022-21894)繞過 UEFI Secure Boot 并為 bootkit 設置持久性,這是該漏洞第一次被公開使用;

3. 盡管微軟在 2022 年 1 月的更新中修復了該漏洞,但由于受影響的、有效簽名的二進制文件仍未添加到 UEFI 取消列表中,因此該漏洞仍有可能被利用。BlackLotus 就是利用了這一點,將其合法但易受攻擊的二進制文件副本帶到系統中,以利用該漏洞;

4. 它能夠禁用操作系統安全機制,如 BitLocker, HVCI 和 Windows Defender;

5. 一旦安裝完畢,bootkit 的主要目標是部署一個內核驅動程序(其中一個功能是保護 bootkit 不被刪除),以及一個負責與 C&C 通信并能夠加載其他用戶模式或內核模式負載的 HTTP 下載器;

6. 至少從 2022 年 10 月 6 日起,BlackLotus 就在地下論壇上進行銷售;

7. 有趣的是,如果受攻擊的主機位于以下地區,研究人員分析的一些 BlackLotus 安裝程序不會繼續進行 bootkit 安裝:

Romanian ?(Moldova), ? ro-MDRussian ?(Moldova), ? ru-MDRussian ?(Russia), ? ru-RUUkrainian ?(Ukraine)? , ? uk-UABelarusian ?(Belarus), ? be-BYArmenian ?(Armenia), ? hy-AMKazakh ?(Kazakhstan), ? kk-KZ

與 BlackLotus 相關的各事件的時間軸如下圖所示。

ESET 發現 了BlackLotus 惡意軟件:首個可在 Win11 上

與 BlackLotus UEFI bootkit 相關的主要事件時間軸

如上所述,自 2022 年 10 月 6 日起,bootkit 已在地下論壇上銷售。目前,研究人員還無法從監測數據中確定用于向受害者部署 bootkit 的確切傳播渠道。研究人員從公開來源和監測數據中獲得的 BlackLotus 樣本數量很少,這證明只有很少的攻擊者開始使用它。但是,在 BlackLotus 依賴的易受攻擊的啟動程序被取消之前,研究人員擔心,如果這個 bootkit 落入知名的犯罪組織手中,情況會迅速發生變化,這是基于 bootkit 的易于部署和犯罪組織利用其僵尸網絡傳播惡意軟件的能力。

幕后組織是 BlackLotus 嗎?