第一个可绕过 Windows 11 安全启动的 UEFI Bootkit 恶意软件

BlackLotus成为第一个UEFI引导套件恶意软件,以绕过Windows 11上的安全启动

最近的网络安全观察中,一个名为 BlackLotus 的隐蔽 UEFI(统一可扩展固件接口)bootkit 已成为第一个能够绕过Windows 11安全启动机制的公开的恶意软件,这个 bootkit 可以在启用了 UEFI 安全启动的最新版 Windows 11 系统上运行。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,UEFI bootkit部署在系统固件中,其完全控制操作系统 (OS) 启动过程,从而可以禁用操作系统级别的安全机制,并在启动期间以高权限部署任意载荷。

该恶意软件以 5000 美元(后续新版本升级 200 美元/次)的价格出售,使用 Assembly 和 C 编程开发,大小仅有 80 KB,但是功能强大且持久能力强,具有地理围栏功能,可以避免感染亚美尼亚、白俄罗斯、哈萨克斯坦、摩尔多瓦、罗马尼亚、俄罗斯和乌克兰的计算机。

BlackLotus 恶意软件利用一个被漏洞号为 CVE-2022-21894(又名Baton Drop)的安全漏洞,来绕过 UEFI 安全启动保护并设置持久性。微软在其 2022 年 1 月补丁星期二更新中解决了该漏洞。

极牛攻防实验室表示,该漏洞的成功利用允许在早期启动阶段执行任意代码,从而允许攻击者在启用 UEFI 安全启动的系统上执行恶意操作,而无需物理访问它。

BlackLotus成为第一个UEFI引导套件恶意软件,以绕过Windows 11上的安全启动

除了可以关闭 BitLocker、Hypervisor 保护的代码完整性 ( HVCI ) 和 Windows Defender 等安全机制外,它还设计用于删除内核驱动程序和与命令和控制 (C2) 服务器通信的 HTTP 下载程序,以检索其他用户模式或内核模式恶意软件。

用于部署 bootkit 的确切操作方式目前尚不清楚,但它从一个安装程序组件开始,该组件负责将文件写入 EFI 系统分区,禁用 HVCI 和 BitLocker,然后重新启动主机。

重启之后是武器化CVE-2022-21894以实现持久化并安装bootkit,之后在每次系统启动时自动执行以部署内核驱动程序。

虽然驱动程序的任务是启动用户模式 ​​HTTP 下载程序并运行下一阶段的内核模式有效负载,但后者能够执行通过 HTTPS 从 C2 服务器接收的命令。

这包括下载和执行内核驱动程序、DLL 或常规可执行文件,获取 bootkit 更新,甚至从受感染的系统中卸载 bootkit。

由于整个 UEFI 生态系统和相关供应链问题的复杂性,即使在漏洞被修复很长时间之后,或者至少在我们被告知它们已被修复之后,许多这些漏洞仍然使许多系统容易受到攻击。

 

第一个可绕过 Windows 11 安全启动的 UEFI Bootkit 恶意软件

极牛网精选文章《第一个可绕过 Windows 11 安全启动的 UEFI Bootkit 恶意软件》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/23023.html

(30)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
主编的头像主编认证作者
上一篇 2023年2月17日 上午10:53
下一篇 2023年2月28日 上午11:57

相关推荐

发表回复

登录后才能评论
扫码关注
扫码关注
分享本页
返回顶部