網路安全公司ESET報告發現第一個能夠繞過最新Windows 11安全啟動保護UEFI(統一可延伸韌體介面)的bootkit惡意軟體—BlackLotus(黑蓮花)。黑蓮花已在暗網中銷售,構成重大網路安全威脅。
黑蓮花利用CVE-2022-21894(又名Baton Drop)的漏洞來繞過Windows的UEFI安全啟動保護並長期駐留在系統韌體中,可以完全控制作業系統啟動過程,而且可以禁用作業系統級別的安全機制並在啟動期間以高許可權部署任意負載。
ESET表示,開發者以5000美元(以及每個新的後續版本200美元)的價格出售黑蓮花,其工具包使用Assembly和C開發,文件大小僅有80KB。
黑蓮花還有地理圍欄功能,可以避免感染亞美尼亞、白俄羅斯、哈薩克、莫爾達瓦、羅馬尼亞、俄羅斯和烏克蘭的電腦。
黑蓮花最早於2022年10月首次公開,當時資安專家就表示,黑蓮花是一種複雜的犯罪軟體工具。它在易用性、可擴展性、可存取性方面都有重大突破,更重要的是,黑蓮花的持久性、逃避和/或破壞的能力構成重大潛在威脅
根據ESET的說法,該漏洞的成功利用允許在早期啟動階段執行任意程式碼,從而允許威脅行為者在啟用UEFI安全啟動的系統上執行惡意操作,而無需實體存取。
雖然
微軟在2022年1月的Patch Tuesday更新中修復了Baton Drop漏洞,但ESET表示,該漏洞的仍可能利用,因為受影響的、有效簽名的二進位檔案仍未添加到UEFI撤銷列表中。黑蓮花利用了這一點,將其自己的合法但存在漏洞的二進位檔案拷貝帶到系統中以利用該漏洞,也就是所謂的自帶易受攻擊驅動程式(BYOVD)攻擊。
除了可以關閉BitLocker、Hypervisor保護的程式碼完整性(HVCI)和Windows Defender等安全機制外,黑蓮花還可刪除內核驅動程式和與命令和控制(C2)伺服器通信的HTTP下載程式,以檢索其他使用者模式或核心模式惡意軟體。
部署BlackLotus的確切操作方式目前尚不清楚,報告稱它從安裝一個程式元件開始,該元件負責將檔寫入EFI系統磁碟分割,禁用HVCI和BitLocker,然後重新開機主機。重啟之後將武器化的CVE-2022-21894漏洞以實現持久化並安裝bootkit,之後在每次系統啟動時自動執行以部署內核驅動程式。
該驅動程式的任務是啟動使用者模式HTTP下載工具並運行下一階段的核心模式負載,後者能夠執行通過HTTPS從C2伺服器接收的命令。包括下載和執行內核驅動程式、DLL或常規可執行檔;獲取bootkit更新,甚至從受感染的系統中卸載bootkit。
專家表示,過去幾年,許多影響UEFI系統安全的高危漏洞被發現。不幸的是,整個UEFI生態系統和供應鏈問題複雜,即使在漏洞被修復很長時間之後,大量系統仍然存在漏洞並容易遭受攻擊。
本文節錄自WeLiveSecurity。