بوت کیت BlackLotus UEFI می تواند محافظت Secure Boot را شکست دهد

چرا مهم است: BlackLotus که در اکتبر 2022 کشف شد، یک بوت کیت قدرتمند سازگار با UEFI است که در بازارهای زیرزمینی با قیمت 5000 دلار برای هر مجوز فروخته می شود. این بدافزار قابلیت‌های چشمگیری را ارائه می‌کند و یک تحلیل جدید اکنون بدترین ترس‌های کارشناسان امنیتی را تأیید می‌کند.

BlackLotus یک تهدید قوی علیه امنیت رایانه مبتنی بر سیستم عامل مدرن است. این بوت‌کیت UEFI قابلیت‌های تهاجمی را ارائه می‌کند که قبلاً فقط برای تهدیدات پیشرفته-مداوم (APT) و گروه‌های حمایت‌شده دولتی برای بچه‌ها و هر «مشتری» پرداخت‌کننده در دسترس بود. محققان کسپرسکی این بدافزار را در سال 2022 کشف و تجزیه کردند و ترکیبی بسیار فشرده از آن را پیدا کردند. اسمبلی و کد C.

گزارش جدید مارتین اسمولار، تحلیلگر ESET اکنون یکی از برجسته‌ترین و خطرناک‌ترین قابلیت‌های بدافزار را تأیید می‌کند: BlackLotus اولین بوت کیت UEFI "in-the-wild" است که حتی زمانی که ویژگی Secure Boot به درستی فعال شده باشد، یک سیستم را به خطر بیاندازد. Smolár می‌گوید این یک کیت مخرب است که می‌تواند روی سیستم‌های کاملاً به‌روزشده UEFI اجرا شود.

BlackLotus همچنین می‌تواند کارهای کثیف خود را در یک سیستم کاملاً به‌روزشده ویندوز 11 انجام دهد. شرکت امنیتی اسلواکی می‌گوید این بدافزار اولین تهدید شناخته شده عمومی است که برای سوء استفاده از CVE-2022-21894 "Secure Boot Security Feature Bypass Vulnerability" طراحی شده است. مایکروسافت این نقص را در ژانویه 2022 برطرف کرد. با این حال، بازیگران بد همچنان می‌توانند با استفاده از آن از آن سوء استفاده کنند. فایل‌های باینری امضا شده معتبر به لیست لغو UEFI اضافه نشده‌اند.

Bootkit می تواند بسیاری از ویژگی های امنیتی پیشرفته را در سطح سیستم عامل مانند BitLocker، HVCI و Windows Defender. Smolár اشاره می کند که پس از نصب، هدف اصلی بدافزار استقرار یک درایور هسته است که از بوت کیت در برابر حذف محافظت می کند. سپس یک دانلودکننده HTTP برای دستورالعمل‌های بیشتر یا بارهای مخرب اضافی در حالت کاربر یا حالت هسته با سرور فرمان و کنترل تماس می‌گیرد.

طبق گفته Smolár، پیشنهاد BlackLotus کشف شده در انجمن‌های هکرها واقعی است. این بدافزار همانقدر توانایی دارد که فروشنده اصلی گفته است، و ما هنوز نمی دانیم چه کسی آن را ایجاد کرده است. تا کنون، گویاترین شواهد در مورد منشأ آن این است که برخی از نصب کنندگان BlackLotus نصب بوت کیت را در سیستم های واقع در مولداوی، روسیه، اوکراین، بلاروس، ارمنستان یا قزاقستان ادامه نمی دهند.

Smolár اشاره می کند که UEFI. بوت کیت ها "تهدیدهای بسیار قدرتمند" هستند زیرا فرآیند بوت سیستم عامل را کنترل می کنند و مکانیسم های امنیتی مختلف سیستم عامل را برای استقرار بارهای مخرب به صورت نامرئی در هنگام راه اندازی غیرفعال می کنند. BlackLotus اولین نمونه از یک بوکیت کاملاً قدرتمند UEFI است که در طبیعت کشف شد. احتمالاً آخرین موردی نخواهد بود که اثبات مفهومی برای سوء استفاده از CVE-2022-21894 در حال حاضر در GitHub موجود است.