最近的网络安全观察中,一个名为 BlackLotus 的隐蔽 UEFI(统一可扩展固件接口)bootkit 已成为第一个能够绕过Windows 11安全启动机制的公开的恶意软件,这个 bootkit 可以在启用了 UEFI 安全启动的最新版 Windows 11 系统上运行。
根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,UEFI bootkit部署在系统固件中,其完全控制操作系统 (OS) 启动过程,从而可以禁用操作系统级别的安全机制,并在启动期间以高权限部署任意载荷。
该恶意软件以 5000 美元(后续新版本升级 200 美元/次)的价格出售,使用 Assembly 和 C 编程开发,大小仅有 80 KB,但是功能强大且持久能力强,具有地理围栏功能,可以避免感染亚美尼亚、白俄罗斯、哈萨克斯坦、摩尔多瓦、罗马尼亚、俄罗斯和乌克兰的计算机。
BlackLotus 恶意软件利用一个被漏洞号为 CVE-2022-21894(又名Baton Drop)的安全漏洞,来绕过 UEFI 安全启动保护并设置持久性。微软在其 2022 年 1 月补丁星期二更新中解决了该漏洞。
极牛攻防实验室表示,该漏洞的成功利用允许在早期启动阶段执行任意代码,从而允许攻击者在启用 UEFI 安全启动的系统上执行恶意操作,而无需物理访问它。
除了可以关闭 BitLocker、Hypervisor 保护的代码完整性 ( HVCI ) 和 Windows Defender 等安全机制外,它还设计用于删除内核驱动程序和与命令和控制 (C2) 服务器通信的 HTTP 下载程序,以检索其他用户模式或内核模式恶意软件。
用于部署 bootkit 的确切操作方式目前尚不清楚,但它从一个安装程序组件开始,该组件负责将文件写入 EFI 系统分区,禁用 HVCI 和 BitLocker,然后重新启动主机。
重启之后是武器化CVE-2022-21894以实现持久化并安装bootkit,之后在每次系统启动时自动执行以部署内核驱动程序。
虽然驱动程序的任务是启动用户模式 HTTP 下载程序并运行下一阶段的内核模式有效负载,但后者能够执行通过 HTTPS 从 C2 服务器接收的命令。
这包括下载和执行内核驱动程序、DLL 或常规可执行文件,获取 bootkit 更新,甚至从受感染的系统中卸载 bootkit。
由于整个 UEFI 生态系统和相关供应链问题的复杂性,即使在漏洞被修复很长时间之后,或者至少在我们被告知它们已被修复之后,许多这些漏洞仍然使许多系统容易受到攻击。