BlackLotus złośliwe oprogramowaniem UEFIBootkit, które jest w stanie ominąć bezpiecznyrozruch w systemie Windows 11

Ukryty bootkit Unified Extensible Firmware Interface (UEFI) o nazwie BlackLotus stał się pierwszym
publicznie znanym złośliwym oprogramowaniem, które potrafi ominąć zabezpieczenia Secure Boot,
co czyni go potężnym zagrożeniem w cyberprzestrzeni. „Ten bootkit może działać nawet na w pełni aktualnych systemach Windows 11 z włączoną funkcją UEFI Secure Boot” – stwierdziła firma ESET.
Bootkity UEFI są wdrażane na partycji systemowej FAT32 i umożliwiają pełną kontrolę nad procesem
uruchamiania systemu operacyjnego, umożliwiając w ten sposób wyłączenie mechanizmów
bezpieczeństwa na poziomie systemu operacyjnego i wdrażanie dowolnych ładunków podczas
uruchamiania z uprawnieniami na najwyższym poziomie.
Oferowany do sprzedaży za około 5000 dolarów ten potężny i trwały zestaw narzędzi jest
programowany w asemblerze i C i ma rozmiar 80 kilobajtów. Posiada również możliwości
geofencingu.


Szczegóły na temat BlackLotus pojawiły się po raz pierwszy w październiku 2022 r., kiedy badacz
bezpieczeństwa z firmy Kaspersky, Siergiej Łożkin, opisał go jako wyrafinowane rozwiązanie typu
Crimeware.

W skrócie BlackLotus wykorzystuje lukę w zabezpieczeniach oznaczoną jako CVE-2022-21894 (znaną
również jako Baton Drop ), aby ominąć zabezpieczenia UEFI Secure Boot i skonfigurować trwałość.
Luka została usunięta przez firmę Microsoft w ramach aktualizacji z łatką ze stycznia 2022 r.
Według firmy ESET pomyślne wykorzystanie tej luki umożliwia wykonanie dowolnego kodu we
wczesnych fazach rozruchu, co pozwala ugrupowaniu zagrażającemu na wykonanie złośliwych działań
w systemie z włączoną funkcją UEFI Secure Boot bez fizycznego dostępu do niego.
Oprócz tego, że jest wyposażony w funkcję wyłączania mechanizmów bezpieczeństwa, takich jak
funkcja BitLocker, integralność kodu chroniona przez hiperwizor ( HVCI ) i Windows Defender, został
również zaprojektowany tak, aby usuwać sterownik jądra i moduł pobierania HTTP, który komunikuje
się z serwerem dowodzenia i kontroli (C2) w celu pobrać dodatkowe złośliwe oprogramowanie
działające w trybie użytkownika lub trybie jądra.

Dodaj komentarz