BlackLotus 成为第一个绕过 Windows 11 安全启动的 UEFI Bootkit 恶意软件

一个名为 BlackLotus 的隐蔽统一可扩展固件接口 (UEFI) bootkit 已成为第一个能够绕过安全启动防御的公开恶意软件，使其成为网络环境中的一个强大威胁。

斯洛伐克网络安全公司 ESET在与 The Hacker News 分享的一份报告中说：“这个 bootkit 甚至可以在启用了 UEFI 安全启动的完全最新的 Windows 11 系统上运行。”

UEFI bootkit部署在系统固件中，允许完全控制操作系统 (OS) 启动过程，从而可以禁用操作系统级别的安全机制并在启动期间以高权限部署任意负载。

以 5,000 美元（以及每个新的后续版本 200 美元）的价格出售，功能强大且持久的工具包使用 Assembly 和 C 进行编程，大小为 80 KB。它还具有地理围栏功能，可以避免感染亚美尼亚、白俄罗斯、哈萨克斯坦、摩尔多瓦、罗马尼亚、俄罗斯和乌克兰的计算机。

有关 BlackLotus 的详细信息于 2022 年 10 月首次出现，卡巴斯基安全研究员 Sergey Lozhkin 将其描述为一种复杂的犯罪软件解决方案。

Eclypsium 的 Scott Scheferman 表示：“这代表了一点‘飞跃’，在易用性、可扩展性、可访问性方面，最重要的是，以持久性、逃避和/或破坏的形式产生更大影响的潜力”注意到。

简而言之，BlackLotus 利用一个被跟踪为CVE-2022-21894（又名Baton Drop）的安全漏洞来绕过 UEFI 安全启动保护并设置持久性。微软在其 2022 年 1 月补丁星期二更新中解决了该漏洞。

根据 ESET 的说法，该漏洞的成功利用允许在早期启动阶段执行任意代码，从而允许威胁行为者在启用 UEFI 安全启动的系统上执行恶意操作，而无需物理访问它。

ESET 研究人员 Martin Smolár 说：“这是第一次公开地滥用此漏洞。” “它的利用仍然是可能的，因为受影响的、有效签名的二进制文件仍未添加到UEFI 撤销列表中。”

“BlackLotus 利用这一点，将其自己的合法但易受攻击的二进制文件副本带到系统中以利用该漏洞，”有效地为自带易受攻击的驱动程序 (BYOVD) 攻击铺平了道路。

除了可以关闭 BitLocker、Hypervisor 保护的代码完整性 ( HVCI ) 和 Windows Defender 等安全机制外，它还设计用于删除内核驱动程序和与命令和控制 (C2) 服务器通信的 HTTP 下载程序，以检索其他用户模式或内核模式恶意软件。

用于部署 bootkit 的确切操作方式目前尚不清楚，但它从一个安装程序组件开始，该组件负责将文件写入 EFI 系统分区，禁用 HVCI 和 BitLocker，然后重新启动主机。

重启之后是武器化CVE-2022-21894以实现持久化并安装bootkit，之后在每次系统启动时自动执行以部署内核驱动程序。

虽然驱动程序的任务是启动用户模式 HTTP 下载程序并运行下一阶段的内核模式有效负载，但后者能够执行通过 HTTPS 从 C2 服务器接收的命令。

这包括下载和执行内核驱动程序、DLL 或常规可执行文件；获取 bootkit 更新，甚至从受感染的系统中卸载 bootkit。

“在过去几年中，已经发现了许多影响 UEFI 系统安全的关键漏洞，”Smolár 说。“不幸的是，由于整个 UEFI 生态系统和相关供应链问题的复杂性，即使在漏洞被修复很长时间之后，或者至少在我们被告知它们已被修复之后，许多这些漏洞仍然使许多系统容易受到攻击。”

“有人会利用这些故障并创建能够在启用了 UEFI 安全引导的系统上运行的 UEFI 引导工具包，这只是时间问题。”