Οι προγραμματιστές του BlackLotus UEFI bootkit έχουν βελτιώσει το κακόβουλο λογισμικό με δυνατότητες παράκαμψης ασφαλούς εκκίνησης που του επιτρέπουν να μολύνει ακόμη και πλήρως επιδιορθωμένα συστήματα Windows 11.
Το BlackLotus είναι το πρώτο δημόσιο παράδειγμα UEFI malware που μπορεί να αποφύγει τον μηχανισμό Secure Boot, με αποτέλεσμα να μπορεί να απενεργοποιήσει τις προστασίες ασφαλείας που συνοδεύουν το λειτουργικό σύστημα.
Το κακόβουλο λογισμικό που ανακαλύφθηκε πρόσφατα έχει τη δυνατότητα να απενεργοποιήσει την προστασία δεδομένων BitLocker και το Defender Antivirus της Microsoft, καθώς και το Hypervisor-protected Code Integrity (HVCI), το οποίο εγγυάται την άμυνα κατά το exploit του Windows Kernel.
Το Unified Extensible Firmware Interface (UEFI) λειτουργεί ως γέφυρα μεταξύ του hardware και του λειτουργικού σας συστήματος, παρέχοντας απρόσκοπτη συνδεσιμότητα.
Όταν ενεργοποιείται ο υπολογιστής, ο low-level κώδικας ξεκινά μια οργανωμένη ακολουθία γεγονότων που πρέπει να συμβούν πριν το λειτουργικό σύστημα ξεκινήσει τις εντολές του.
Δείτε επίσης: WH Smith: Επλήγη από κυβερνοεπίθεση
BlackLotus bootkit
Πέρυσι, ο κακόβουλος κώδικας γνωστός ως κακόβουλο λογισμικό BlackLotus UEFI αναδείχθηκε σε hacking forum λόγω των εξελιγμένων δυνατοτήτων του να παρακάμπτει τα προγράμματα προστασίας από ιούς στους πληγέντες υπολογιστές.
Ο διαφημιστής είπε ότι το κακόβουλο λογισμικό παίρνει μόνο 80 kb μετά την εγκατάσταση και το κόστος μιας άδειας ήταν 5.000 $, αν και οι ανακατασκευές ήταν διαθέσιμες για μόλις 200 $.
Αυτή την εβδομάδα, οι ερευνητές ασφαλείας της ESET δημοσίευσαν μια έκθεση που επιβεβαιώνει ότι το κακόβουλο λογισμικό λειτουργεί ακριβώς όπως το διαφημίζει. Εκμεταλλεύεται την περσινή ευπάθεια CVE-2022-21894 για να παρακάμψει την προστασία Secure Boot.
Ξεκινώντας την έρευνά τους από ένα ύποπτο πρόγραμμα λήψης, η ομάδα ανακάλυψε ότι στην πραγματικότητα επρόκειτο για το user-mode component του BlackLotus UEFI bootkit. Αυτό το component συνδέεται με έναν διακομιστή C2 και μπορεί να φορτώσει διαφορετικά ωφέλιμα φορτία ανάλογα με το αν βρίσκονται σε λειτουργία χρήστη ή kernel.
Δείτε επίσης: Microsoft Exchange Online εκτός λειτουργίας
BlackLotus διαδικασία επίθεσης
Ο ερευνητής κακόβουλου λογισμικού της ESET, Martin Smolár, σημειώνει ότι η επίθεση ξεκινά με την εκτέλεση ενός προγράμματος εγκατάστασης που αναπτύσσει τα αρχεία του bootkit στο EFI system partition, απενεργοποιεί τις προστασίες HVCI και BitLocker και επανεκκινεί τον host.
Ο χάκερ εκμεταλλεύεται τα νόμιμα εκτελέσιμα αρχεία που είναι ευάλωτα στο CVE-2022-21894 (Windows Hypervisor Loader, Windows Boot Manager, PE binaries) μαζί με ένα προσαρμοσμένο αρχείο Boot Configuration Data.
Το persistence σε μηχανήματα με ενεργοποιημένο το UEFI Secure Boot επιτυγχάνεται μετά την αρχική επανεκκίνηση με την εκμετάλλευση του CVE-2022-21894 και την εγγραφή του Machine Owner Key (MOK) του εισβολέα.
Μετά την επανεκκίνηση του υπολογιστή, ξεκινά το αυτο-υπογεγραμμένο UEFI bootkit και αναπτύσσονται ένας κακόβουλος kernel driver και ένα πρόγραμμα λήψης HTTP για την επιτυχή εγκατάσταση κακόβουλου λογισμικού.
Βαθιά μέσα στον κώδικα του BlackLotus, οι ερευνητές έπεσαν πάνω σε αρκετές αναφορές στη διάσημη σειρά anime Higurashi When They Cry. Αυτές περιελάμβαναν δύο components και ένα αυτο-υπογεγραμμένο πιστοποιητικό για το bootkit binary του, το οποίο δεν έχει εκδοθεί από κανέναν άλλον εκτός από αυτούς.
Δείτε επίσης: Chick-fil-A: Παραβιάστηκαν λογαριασμοί πελατών
Ανάμεσα στις πολυάριθμες αναφορές που κρύβει ο κακόβουλος κώδικας του BlackLotus βρίσκεται ένα κρυφό μήνυμα κρυμμένο μέσα σε αχρησιμοποίητες συμβολοσειρές που απευθύνονταν στην Πολωνή αναλύτρια κακόβουλου λογισμικού Aleksandra Doniec.
Το BlackLotus χρησιμοποιεί παλιά ευπάθεια
Το BlackLotus αξιοποιεί την μακροχρόνια ευπάθεια (CVE-2022-21894) για να παρακάμψει το UEFI Secure Boot και να αποκτήσει μόνιμη πρόσβαση σε ένα bootkit, καθιστώντας την πρώτη περίπτωση χρήσης αυτού του exploit σε πραγματικές συνθήκες.
Παρόλο που η Microsoft κυκλοφόρησε τον Ιανουάριο του 2022 ένα patch για την αντιμετώπιση της ευπάθειας, το BlackLotus εξακολουθεί να είναι σε θέση να την εκμεταλλευτεί και να επιτρέψει στους επιτιθέμενους στον κυβερνοχώρο να διαταράξουν πρωτόκολλα ασφαλείας όπως το BitLocker, το HVCI και το Windows Defender.
Ακόμα και μετά την επιδιόρθωση της ευπάθειας τον Ιανουάριο, το κακόβουλο bootkit κατάφερε να αποφύγει την ανίχνευση επειδή τα έγκυρα υπογεγραμμένα δυαδικά αρχεία δεν περιλαμβάνονταν στη λίστα ανάκλησης του UEFI. Αυτός είναι ένας βασικός μηχανισμός που χρησιμοποιείται για την ανάκληση των ψηφιακών πιστοποιητικών των οδηγών UEFI και τα καθιστά άχρηστα, αποτρέποντας έτσι την πιθανή εκμετάλλευση.
Λόγω της πολυπλοκότητας ολόκληρου του οικοσυστήματος UEFI και των σχετικών προβλημάτων της εφοδιαστικής αλυσίδας, πολλά από τα τρωτά σημεία του UEFI έχουν αφήσει τα συστήματα ευάλωτα ακόμη και πολύ καιρό μετά την επιδιόρθωση των τρωτών σημείων, σύμφωνα με την ESET.
Πηγή πληροφοριών: bleepingcomputer.com
