Компания ESET ― лидер в области информационной безопасности ― обнаружила новый буткит, способный обходить важную функцию безопасности платформы UEFI. В частности, вредоносное программное обеспечение может запускаться даже в полностью обновленной системе Windows 11 с включенным UEFI Secure Boot. Проанализировав функционал, специалисты ESET пришли к выводу, что буткит является угрозой BlackLotus, которая продается на подпольных форумах за 5000 долларов.
«Расследование началось с обнаружения телеметрией ESET в конце 2022 года компонента режима пользователя BlackLotus — загрузчика HTTP. После начальной оценки шаблоны кода, обнаруженные в образцах, привели к шести установщикам BlackLotus. Это позволило исследовать всю цепочку выполнения и понять, что мы имеем дело не с обычным вредоносным программным обеспечением», ― рассказывает Мартин Смолар, исследователь ESET.
Буткит использует уже известную уязвимость (CVE-2022-21894), чтобы обойти UEFI Secure Boot и остаться в системе. Несмотря на ее исправление в обновлении Microsoft за январь 2022 года, использование уязвимости все еще возможно, поскольку некоторые правильно подписанные двоичные файлы еще не добавлены в список отозванных UEFI. BlackLotus пользуется этим, доставляя собственные копии легитимных, но уязвимых двоичных файлов в систему.
Угроза способна отключать такие системы безопасности операционной системы как BitLocker, HVCI и Windows Defender. После установки основной целью буткита является развертывание драйвера ядра и HTTP-загрузчика, ответственного за соединение с командным сервером и способного загружать дополнительные компоненты режима пользователя или режима ядра.
При этом некоторые установщики BlackLotus, проанализированные ESET, не продолжают установку буткита, если определенное устройство расположено в ряде стран, среди которых Украина, Армения, Казахстан, Молдова и другие.
BlackLotus рекламируется и продается на подпольных форумах, по крайней мере, с начала октября 2022 года. «Теперь мы можем предоставить доказательства того, что буткит настоящий, а реклама – не просто мошенничество, — рассказывает исследователь ESET. — Небольшое количество образцов BlackLotus, которые мы смогли получить из общедоступных источников и телеметрии ESET, свидетельствует о том, что еще не так много киберпреступников начали использовать его. Однако если этот буткит попадет в руки групп злоумышленников, ситуация может быстро измениться из-за простоты развертывания угрозы и возможности ее распространения с помощью ботнетов».
За последние несколько лет обнаружено много критических уязвимостей, которые влияют на безопасность систем UEFI. К сожалению, из-за сложности всей экосистемы UEFI и связанных с этим проблем цепи поставки многие уязвимости остаются неисправленными даже спустя длительное время после обнаружения.
Стоит отметить, что буткиты UEFI — это очень мощные угрозы, которые получают полный контроль над процессом загрузки операционной системы и способны отключать различные механизмы безопасности операционной системы и развертывать свои компоненты в режиме ядра или режиме пользователя на начальных этапах загрузки. Это позволяет им запускаться очень незаметно и иметь расширенные права. Пока только некоторые из них были обнаружены в реальной среде и подробно описаны.
Благодаря расположению в доступном разделе диска FAT32 буткиты UEFI легче обнаружить по сравнению с модификациями встроенного программного обеспечения, такими как LoJax. Однако запуск буткитов в качестве загрузчика предоставляет им почти те же возможности без необходимости обходить функции многоуровневой безопасности, которые защищают от модификаций встроенного программного обеспечения.
В любом случае пользователям рекомендуется регулярно обновлять системы и продукты для защиты, чтобы обнаруживать угрозы на этапе проникновения и предотвратить потенциальную вредоносную активность на личных устройствах и в корпоративных сетях.