Эксперты компании ESET сообщили, что UEFI-буткит BlackLotus, который продается на хакерских форумах примерно за 5000 долларов, действительно способен обойти защиту Secure Boot. По данным исследователей, вредонос представляет угрозу даже для полностью обновленных машин под управлением Windows 11 с включенной функцией UEFI Secure Boot.
Впервые BlackLotus был замечен в октябре 2022 года. Его продавец утверждал, что буткит имеет встроенный обход Secure Boot, встроенную защиту от удаления на уровне Ring0/Ядра, а также запускается в режиме восстановления и в безопасном режиме.
Кроме того, продавец утверждал, что малварь оснащена антивиртуализацей, антиотладкой и обфускацией, что усложняет ее обнаружение и анализ. Также, согласно его заявлениям, защитное ПО не может обнаружить и уничтожить буткит, так как тот запускается под учетной записью SYSTEM внутри легитимного процесса.
Помимо этого Black Lotus якобы способен отключать защитные механизмы на целевых машинах, включая Hypervisor-Protected Code Integrity (HVCI) и Windows Defender, а также обходить User Account Control (UAC).
Обнаружившие его специалисты писали, что Black Lotus имеет размер 80 килобайт, написан на ассемблере и C, и умеет определять геозону жертвы, чтобы избегать заражения машин в странах СНГ. Вредонос предлагается к продаже за 5000 долларов США, а каждая новая версия будет стоить еще 200 долларов США.
Напомню, что тогда эксперты допускали, что все вышеописанные возможности Black Lotus – это не более чем рекламный трюк, и на деле буткит далеко не так опасен. К сожалению, эти предположения не подтвердились.
Как теперь сообщают ИБ-эксперты ESET, изучавшие вредоноса с осени прошлого года, слухи о том, что буткит легко обходит Secure Boot, «теперь стали реальностью». По их информации, для обхода Secure Boot и закрепления в системе вредонос использует уязвимость CVE-2022-21894 годичной давности.
Microsoft устранила эту проблему еще в январе 2022 года, но злоумышленники все еще могут использовать ее, так как затронутые подписанные бинарники не были добавлены в отзывной список UEFI. По словам аналитиков, это первый задокументированный случай злоупотребления этой уязвимостью.
«Black Lotus пользуется этим, добавляя в систему собственные копии легитимных, но уязвимых двоичных файлов, чтобы эксплуатировать уязвимость», — объясняют в ESET, имея в виду атаки типа BYOVD — bring your own vulnerable driver («принеси свой уязвимый драйвер»).
Хуже того, PoC-эксплойт для этой уязвимости доступен с августа 2022 года, поэтому в скором времени и другие киберпреступники могут взять проблему на вооружение.
Точный способ развертывания буткита пока неясен, но атака начинается с компонента установщика, который отвечает за запись файлов в системный раздел EFI, отключения HVCI и BitLocker и последующей перезагрузки хоста.
Исследователи рассказывают, что после эксплуатации CVE-2022-21894 Black Lotus отключает защитные механизмы, развертывает драйвер ядра и HTTP-загрузчик. Драйвер ядра, среди прочего, защищает файлы буткита от удаления, тогда как загрузчик взаимодействует с управляющим сервером и выполняет полезную нагрузку.
Хотя исследователи не связывают вредоноса с какой-либо конкретной хак-группой или правительством, они отмечают, что проанализированные ими установщики Black Lotus не будут работать, если зараженный компьютер находится в Армении, Беларуси, Казахстане, Молдове, Румынии, России и Украине.
