UEFI-буткит работает на полностью обновленных версиях Windows 11 с включенной «Безопасной загрузкой» (Secure Boot). Буткиты — очень опасный вид вредоносного ПО, так как они полностью контролируют процесс загрузки ОС. Модуль управления позволяет им отключать различные механизмы безопасности и развертывать свои «полезные нагрузки в режиме ядра или в пользовательском режиме» на ранних этапах запуска системы.
Благодаря своим высоким привилегиям, они становятся очень мощными и в то же время скрытыми.
Для чего нужен Secure Boot
«Безопасная загрузка» или Secure Boot — это стандарт безопасности, предназначенный для управления процессом загрузки устройств. По своей сути этот механизм проверяет подписи загрузочного ПО, включая драйверы прошивки UEFI, приложения EFI и ОС, чтобы убедиться, что все подписи действительны. Вредоносное ПО, которое манипулирует этими компонентами, не позволит запустить ОС, так как проверка подписи не удастся. Windows 11 требует включенной безопасной загрузки.
Secure Boot предназначен для предотвращения буткитов UEFI. ESET отмечает, что существует ряд известных уязвимостей технологии, некоторые из которых работают даже в полностью обновленных системах. BlackLotus использует одну из этих проблем.
UEFI-буткит BlackLotus
Исследователи ESET обнаружили первые компоненты BlackLotus еще в конце 2022 года, когда они заметили «компонент пользовательского режима BlackLotus» в данных телеметрии. Оценка привела к обнаружению шести установщиков BlackLotus и пониманию того, что BlackLotus не является обычным вредоносным ПО.
Исследователи пришли к следующим заключениям об этом вредоносном ПО:
- BlackLotus смог работать на полностью пропатченных системах Windows 11 с включенной безопасной загрузкой UEFI.
- Вредоносное ПО использует уязвимость годовой давности CVE-2022-21894, которая представляет собой уязвимость обхода функции безопасности безопасной загрузки. Microsoft исправила проблему в январском обновлении 2022 года, но эксплуатация все еще возможна, «поскольку затронутые, действительно подписанные двоичные файлы до сих пор не добавлены в список отзыва UEFI».
- Вредоносное ПО может отключать функции безопасности системы, включая BitLocker, Защитник Windows и HVCI (защита целостности кода гипервизором).
- BlackLotus развертывает драйвер ядра, который защищает буткит, и загрузчик HTTP, который может загружать дополнительную полезную нагрузку и обмениваться данными с системой управления.
- Самое раннее упоминание о BlackLotus датируется 6 октября 2022 года. Буткит рекламировался на подпольном форуме.
- Некоторые установщики BlackLotus пропускают установку буткита, если обнаруживают определенные локали на устройстве.
Анализ BlackLotus, проведенный ESET, содержит множество технических подробностей. Дополнительная информация доступна в сообщении в блоге.
Смягчение последствий BlackLotus
ESET рекомендует обновить систему и антивирусное ПО. Некоторые программы безопасности способны обнаружить угрозу до того, как она заразит систему и обоснуется в ней.
Основной мерой безопасности должен быть отзыв известных уязвимых двоичных файлов UEFI, которые используются для обхода безопасной загрузки UEFI. ESET рекомендует вендорам распространять обновления через Центр обновления Windows. Компания отмечает, что отзыв может привести к проблемам с системами, образами восстановления и резервными копиями, которые могут перестать загружаться.
Не стоит забывать и про элементарные правила безопасности. Использование виртуальных машин или изолированных программных сред для запуска исполняемых файлов сомнительного происхождения может снизить риск заражения.
ESET опубликовала подписи файлов, сертификаты и домены BlackLotus, которые можно заблокировать превентивно.
UEFI-буткит BlackLotus — мощное вредоносное ПО, которое может успешно атаковать полностью обновленные системы Windows 11 с помощью Secure Boot. На данный момент масштаб атак неизвестен.
Угрозы безопасности
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов
• Системы Ubuntu затронуты уязвимостью «needrestart», которая позволяет получить root-привилегии
• Фейковые ИИ-генераторы видео заражают Windows и macOS вредоносным ПО
• D-Link не будет исправлять уязвимость, которая затрагивает 60 тысяч устаревших модемов
• qBittorrent исправляет уязвимость, из-за которой пользователи подвергались MitM-атакам в течение 14 лет
• «Лаборатория Касперского» предупреждает о вирусах в финансовых Telegram-каналах