首個能繞過 Windows 11 安全啟動的惡意軟件問世

近日，斯洛伐克網絡安全公司ESET報告稱發現首個能夠繞過最新Windows 11安全啟動保護UEFI（統一可擴展固件接口）的bootkit惡意軟件——BlackLotus（黑蓮花），已在地下網絡黑市中銷售，構成重大網絡安全威脅。

BlackLotus利用了一個編號為CVE-2022-21894（又名Baton Drop）的漏洞來繞過Windows的UEFI安全啟動保護并長期駐留在系統固件中，可以完全控制操作系統啟動過程，而且可以禁用操作系統級別的安全機制并在啟動期間以高權限部署任意負載。（通俗來說，就是可以把受害者的電腦變成“肉雞”）

報告稱，開發者以5000美元（以及每個新的后續版本200美元）的價格出售BlackLotus，其工具包使用Assembly和C開發，文件大小僅有80KB。

BlackLotus還有地理圍欄功能，可以避免感染亞美尼亞、白俄羅斯、哈薩克斯坦、摩爾多瓦、羅馬尼亞、俄羅斯和烏克蘭的計算機。

有關BlackLotus的信息最早于2022年10月首次公開，當時卡巴斯基安全研究員Sergey Lozhkin將其描述為一種復雜的犯罪軟件工具。

Eclypsium的Scott Scheferman表示：“BlackLotus工具包的公開售賣是一次飛越，在易用性、可擴展性、可訪問性方面都有重大突破，更重要的是，其持久性、逃避和/或破壞的能力構成重大潛在威脅。”

根據ESET的說法，該漏洞的成功利用允許在早期啟動階段執行任意代碼，從而允許威脅行為者在啟用UEFI安全啟動的系統上執行惡意操作，而無需物理訪問它。

雖然微軟在2022年1月的補丁星期二更新中修復了Baton Drop漏洞，但ESET研究人員Martin Smolár表示：“對該漏洞的利用仍然是可能的，因為受影響的、有效簽名的二進制文件仍未添加到UEFI撤銷列表中。”BlackLotus利用了這一點，將其自己的合法但存在漏洞的二進制文件拷貝帶到系統中以利用該漏洞，也就是所謂的自帶易受攻擊驅動程序(BYOVD)攻擊。

除了可以關閉BitLocker、Hypervisor保護的代碼完整性(HVCI)和Windows Defender等安全機制外，BlackLotus還可刪除內核驅動程序和與命令和控制(C2)服務器通信的HTTP下載程序，以檢索其他用戶模式或內核模式惡意軟件。

用于部署BlackLotus的確切操作方式目前尚不清楚，報告稱它從安裝一個程序組件開始，該組件負責將文件寫入EFI系統分區，禁用HVCI和BitLocker，然后重新啟動主機。

重啟之后將武器化CVE-2022-21894漏洞以實現持久化并安裝bootkit，之后在每次系統啟動時自動執行以部署內核驅動程序。

該驅動程序的任務是啟動用戶模式HTTP下載工具并運行下一階段的內核模式負載，后者能夠執行通過HTTPS從C2服務器接收的命令。包括下載和執行內核驅動程序、DLL或常規可執行文件；獲取bootkit更新，甚至從受感染的系統中卸載bootkit。

“UEFI的淪陷并非偶然。在過去幾年中，業界發現了許多影響UEFI系統安全的高危漏洞，”Smolár說：“不幸的是，由于整個UEFI生態系統和供應鏈問題的復雜性，即使在漏洞被修復很長時間之后，或者至少在我們被告知它們已被修復之后，大量系統仍然存在漏洞并容易遭受攻擊。”