第一个可绕过 Windows 11 安全启动的 UEFI Bootkit 恶意软件

最近的网络安全观察中，一个名为 BlackLotus 的隐蔽 UEFI（统一可扩展固件接口）bootkit 已成为第一个能够绕过Windows 11安全启动机制的公开的恶意软件，这个 bootkit 可以在启用了 UEFI 安全启动的最新版 Windows 11 系统上运行。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，UEFI bootkit部署在系统固件中，其完全控制操作系统 (OS) 启动过程，从而可以禁用操作系统级别的安全机制，并在启动期间以高权限部署任意载荷。

该恶意软件以 5000 美元（后续新版本升级 200 美元/次）的价格出售，使用 Assembly 和 C 编程开发，大小仅有 80 KB，但是功能强大且持久能力强，具有地理围栏功能，可以避免感染亚美尼亚、白俄罗斯、哈萨克斯坦、摩尔多瓦、罗马尼亚、俄罗斯和乌克兰的计算机。

BlackLotus 恶意软件利用一个被漏洞号为 CVE-2022-21894（又名Baton Drop）的安全漏洞，来绕过 UEFI 安全启动保护并设置持久性。微软在其 2022 年 1 月补丁星期二更新中解决了该漏洞。

极牛攻防实验室表示，该漏洞的成功利用允许在早期启动阶段执行任意代码，从而允许攻击者在启用 UEFI 安全启动的系统上执行恶意操作，而无需物理访问它。

除了可以关闭 BitLocker、Hypervisor 保护的代码完整性 ( HVCI ) 和 Windows Defender 等安全机制外，它还设计用于删除内核驱动程序和与命令和控制 (C2) 服务器通信的 HTTP 下载程序，以检索其他用户模式或内核模式恶意软件。

用于部署 bootkit 的确切操作方式目前尚不清楚，但它从一个安装程序组件开始，该组件负责将文件写入 EFI 系统分区，禁用 HVCI 和 BitLocker，然后重新启动主机。

重启之后是武器化CVE-2022-21894以实现持久化并安装bootkit，之后在每次系统启动时自动执行以部署内核驱动程序。

虽然驱动程序的任务是启动用户模式 ​​HTTP 下载程序并运行下一阶段的内核模式有效负载，但后者能够执行通过 HTTPS 从 C2 服务器接收的命令。

这包括下载和执行内核驱动程序、DLL 或常规可执行文件，获取 bootkit 更新，甚至从受感染的系统中卸载 bootkit。

由于整个 UEFI 生态系统和相关供应链问题的复杂性，即使在漏洞被修复很长时间之后，或者至少在我们被告知它们已被修复之后，许多这些漏洞仍然使许多系统容易受到攻击。