ESET 的安全研究人员近日发现了一种劫持 UEFI 的恶意软件,并将其命名为 BlackLotus。该恶意软件是首个可以在 Win11 系统上绕过 Secure Boot 的 UEFI bootkit 恶意软件。这个 bootkit 利用 UEFI 安全启动的 Nday 漏洞绕过安全启动并在启动过程中加载恶意的内核模块。设备一旦感染该恶意软件,就会在 Win11 系统中禁用 Defender、Bitlocker 和 HVCI 等防病毒软件。
BlackLotus UEFI bootkit
近年来发现的 UEFI 漏洞数量以及在合理的时间窗口内修复或取消易受攻击的二进制文件的失败都没有引起攻击者的注意。因此,第一个公开的绕过基本平台安全功能的 UEFI bootkit —— UEFI Secure Boot ——现在已经成为现实。在这篇文章中,研究人员首次公开分析了该 UEFI bootkit,它能够在启用了 UEFI Secure Boot 的最新 Windows 11 系统上运行。bootkit 的功能及其单独的功能使研究人员相信研究人员正在处理一个被称为 BlackLotus 的 bootkit,UEFI bootkit 至少从 2022 年 10 月起就开始在黑客论坛上以 5000 美元的价格出售。
UEFI bootkit 的破坏性很大,它完全控制系统启动过程,因此能够禁用各种系统安全机制,并在系统启动的早期阶段部署自己的内核模式或用户模式有效负载。这使得他们可以非常隐秘地行动,并拥有很高的权限。到目前为止,只有少数几个在野外被发现并被公开报道,例如,研究人员在 2020 年发现的多个恶意 EFI 样本,或功能齐全的 UEFI bootkit,如研究人员去年发现的 ESPecter bootkit,或卡巴斯基研究人员发现的 FinSpy bootkit。
与固件植入(如 LoJax)相比,UEFI bootkit 可能在隐蔽性方面有所下降。研究人员的团队于 2018 年发现了第一个野外 UEFI 固件植入,因为 bootkit 位于易于访问的 FAT32 磁盘分区上。然而,作为启动加载程序运行可以提供与固件植入几乎相同的功能,但无需克服多级 SPI 闪存防御,如 BWE、BLE 和 PRx 保护位,或硬件提供的保护(如 Intel Boot Guard)。当然,UEFI Secure Boot 阻碍了 UEFI bootkit,但有一些不可忽视的已知漏洞可以绕过这一基本的安全机制。最糟糕的是,截止发文时,其中一些漏洞仍然很容易在最新系统上被利用,包括 BlackLotus 所利用的漏洞。
研究人员的调查始于对 2022 年末监测中的 BlackLotus 用户模式组件(一个 HTTP 下载器)的一些点击。经过初步评估,样本中发现的代码模式使研究人员发现了六个 BlackLotus 安装程序(包括 VirusTotal 和研究人员自己的遥测)。这使研究人员能够探索整个执行链,并意识到研究人员在这里处理的不仅仅是常规的恶意软件。
以下是有关 BlackLotus 的要点,以及与之相关的一系列事件的时间表:
1. 它能够在启用 UEFI Secure Boot 的最新、完全修复的 Windows 11 系统上运行;
2. 它利用一个超过一年的漏洞(CVE-2022-21894)绕过 UEFI Secure Boot 并为 bootkit 设置持久性,这是该漏洞第一次被公开使用;
3. 尽管微软在 2022 年 1 月的更新中修复了该漏洞,但由于受影响的、有效签名的二进制文件仍未添加到 UEFI 取消列表中,因此该漏洞仍有可能被利用。BlackLotus 就是利用了这一点,将其合法但易受攻击的二进制文件副本带到系统中,以利用该漏洞;
4. 它能够禁用操作系统安全机制,如 BitLocker, HVCI 和 Windows Defender;
5. 一旦安装完毕,bootkit 的主要目标是部署一个内核驱动程序(其中一个功能是保护 bootkit 不被删除),以及一个负责与 C&C 通信并能够加载其他用户模式或内核模式负载的 HTTP 下载器;
6. 至少从 2022 年 10 月 6 日起,BlackLotus 就在地下论坛上进行销售;
7. 有趣的是,如果受攻击的主机位于以下地区,研究人员分析的一些 BlackLotus 安装程序不会继续进行 bootkit 安装:
Romanian (Moldova), ro-MDRussian (Moldova), ru-MDRussian (Russia), ru-RUUkrainian (Ukraine) , uk-UABelarusian (Belarus), be-BYArmenian (Armenia), hy-AMKazakh (Kazakhstan), kk-KZ
与 BlackLotus 相关的各事件的时间轴如下图所示。
与 BlackLotus UEFI bootkit 相关的主要事件时间轴
如上所述,自 2022 年 10 月 6 日起,bootkit 已在地下论坛上销售。目前,研究人员还无法从监测数据中确定用于向受害者部署 bootkit 的确切传播渠道。研究人员从公开来源和监测数据中获得的 BlackLotus 样本数量很少,这证明只有很少的攻击者开始使用它。但是,在 BlackLotus 依赖的易受攻击的启动程序被取消之前,研究人员担心,如果这个 bootkit 落入知名的犯罪组织手中,情况会迅速发生变化,这是基于 bootkit 的易于部署和犯罪组织利用其僵尸网络传播恶意软件的能力。
幕后组织是 BlackLotus 吗?