I ricercatori di ESET hanno scoperto il primo bootkit furtivo UEFI (Unified Extensible Firmware Interface) che aggira la funzionalità di sicurezza essenziale della piattaforma UEFI Secure Boot ed è in grado di bypassare l’avvio protetto su sistemi Windows 11 completamente aggiornati. Noto come BlackLotus, il bootkit viene venduto sui forum di hacking per $ 5.000 almeno dall’ottobre 2022.

Secure Boot è una funzionalità di sicurezza dell’ultima Unified Extensible Firmware Interface (UEFI) 2.3.1 progettata per rilevare la manomissione di boot loader, file chiave del sistema operativo e ROM opzionali non autorizzate convalidando le loro firme digitali. “I rilevamenti vengono bloccati prima che possano attaccare o infettare le specifiche del sistema.”

BlackLotus è scritto in assembly e C e ha una dimensione di soli 80kb. Il codice dannoso può essere configurato per evitare di infettare i sistemi nei paesi della regione CIS.

Il malware supporta l’anti-virtualizzazione, l’anti-debug e l’offuscamento del codice. È in grado di disabilitare le soluzioni di sicurezza, tra cui l’integrità del codice protetto da hypervisor (HVCI), BitLocker e Windows Defender. Il rootkit è in grado di aggirare le difese di sicurezza come UAC e Secure Boot e di caricare driver non firmati utilizzati per eseguire un’ampia gamma di attività dannose.

La minaccia è molto furtiva, può raggiungere la persistenza a livello UEFI con la protezione dell’agente Ring 0.

Black Lotus supporta un set completo di funzionalità backdoor, potrebbe anche essere utilizzato per mirare potenzialmente ad ambienti IT e OT.Black Lotus sta offrendo funzionalità APT agli attori malintenzionati nel panorama delle minacce.

Punti chiave su BlackLotus:

  • È in grado di funzionare sui sistemi Windows 11 più recenti e con patch complete con UEFI Secure Boot abilitato.
  • Sfrutta una vulnerabilità vecchia di più di un anno (CVE-2022-21894) per aggirare UEFI Secure Boot e configurare la persistenza per il bootkit. Questo è il primo abuso pubblicamente noto di questa vulnerabilità.
  • Sebbene la vulnerabilità sia stata corretta nell’aggiornamento di gennaio 2022 di Microsoft, il suo sfruttamento è ancora possibile poiché i file binari interessati e firmati in modo valido non sono ancora stati aggiunti all’elenco di revoche UEFI. BlackLotus ne approfitta, portando nel sistema le proprie copie di binari legittimi, ma vulnerabili, per sfruttare la vulnerabilità.
  • È in grado di disabilitare i meccanismi di sicurezza del sistema operativo come BitLocker, HVCI e Windows Defender.
  • Una volta installato, l’obiettivo principale del bootkit è distribuire un driver del kernel (che, tra le altre cose, protegge il bootkit dalla rimozione) e un downloader HTTP responsabile della comunicazione con il C&C e in grado di caricare ulteriori payload in modalità utente o kernel.
  • BlackLotus è stato pubblicizzato e venduto su forum clandestini almeno dal 6 ottobre 2022.
  • Alcuni dei programmi di installazione di BlackLotus analizzati dagli esperti non procedono con l’installazione del bootkit se l’host compromesso utilizza una delle seguenti impostazioni locali:
    • Rumeno (Moldavia), ro-MD
    • Russo (Moldavia), ru-MD
    • Russo (Russia), ru-RU
    • Ucraino (Ucraina), uk-UA
    • Bielorusso (Bielorussia), be-BY
    • Armeno (Armenia), hy-AM
    • Kazakistan (Kazakistan), kk-KZ

“Sfruttando CVE-2022-21894 per bypassare la funzione Secure Boot e installare il bootkit. Ciò consente l’esecuzione di codice arbitrario nelle prime fasi di avvio, in cui la piattaforma è ancora di proprietà del firmware e le funzioni UEFI Boot Services sono ancora disponibili”, si legge nell’analisi pubblicata dagli esperti di ESET. “Ciò consente agli aggressori di fare molte cose che non dovrebbero essere in grado di fare su una macchina con UEFI Secure Boot abilitato senza avere accesso fisico ad essa, come modificare le variabili NVRAM solo per i servizi di avvio. E questo è ciò di cui gli aggressori approfittano per impostare la persistenza per il bootkit nel passaggio successivo.”

https://www.welivesecurity.com/2023/03/01/blacklotus-uefi-bootkit-myth-confirmed/

https://securityaffairs.com/142864/malware/blacklotus-bootkit-bypass-secure-boot-win11.html

Twitter
Visit Us
LinkedIn
Share
YOUTUBE