Rzadko się zdarza, że mówi się o tak niebezpiecznym, zdolnym do obchodzenia zabezpieczeń cyberzagrożeniu. Oddział ESET-a: WeLiveSecurity, opublikował raport na temat malware'u BlackLotus, która co prawda nie jest nowa (bo krąży po Internecie od około połowy ubiegłego roku), ale za to nawet w pełni zaktualizowany Windows 11 (i wcześniejsze) mogą być zagrożone.
Jak wskazują sami badacze z ESET-a, ów bootkit jest w stanie obchodzić jedno z kluczowych zabezpieczeń Windows, jakim jest Secure Boot. I co ciekawe - nie pomaga tutaj zainstalowanie wszystkich poprawek bezpieczeństwa. Po wniknięciu do maszyny, BlackLotus dokonuje modyfikacji rejestru celem wyłączenia modułu Hypervisor-protected Code Integrity (HVCI), który jest częścią Virtualization-based Security (VBS). Następnie wyłącza szyfrowanie za pomocą BitLockera. BlackLotus zabiera się również za program Windows Defender, który jest wyłączany poprzez manipulowanie terownikiem Early Launch Anti-Malware (ELAM) oraz filtrem systemu plików Windows Defender. Końcowy etap działania bootkita to wdrożenie skrytpu HTTP, który pozwala na pobranie docelowego zagrożenia - np. narzędzia służącego do wyciągania danych o kontach bankowych ofiary.
Bootkit używa luki w zabezpieczeniach, która została oznaczona pod sygnaturą CVE-2022-21894. I co ciekawe, ta została załatana w styczniu zeszłego roku - czyli już całkiem dawno temu. Trzeba jednak wspomnieć o tym, że jej użycie może być w dalszym ciągu możliwe. "Binarki" z odpowiednimi podpisami nie zostały w dalszym ciągu dodane do listy UEFI revocation, która stanowi pewne zabezpieczenie przed bootkitami lub ich częściami. Wszystko to powoduje, że BlackLotus jest w stanie w udany sposób funkcjonować na systemach Windows 11 z włączonym UEFI Secure Boot.
Dotychczas nie było żadnych dowodów na to, że ktokolwiek użył luki CVE-2022-21894 do atakowania maszyn. Teraz jednak okazuje się, że dzięki obejściu UEFI Secure Boot, BlackLotus jest w stanie uzyskać persystencję i tym samym - w sposób ciągły nękać użytkowników. Microsoft załatał lukę w 2022 roku, jednak zabrakło dodania binarek zagrożenia do listy UEFI revocation, co chroniłoby przed możliwością użycia luki. BlackLotus po wniknięciu do maszyny - całkiem przytomnie - wyłącza poszczególne mechanizmy zabezpieczeń i wprowadza ostatecznie docelowe złośliwe oprogramowanie, która ma za zadanie zrealizować docelowe działanie na komputerze ofiary.
Najgorsze jest to, że nie da się przed nim w pełni ochronić, dopóki binarki zagrożenia nie zostaną dodane do listy UEFI revocation. Żadne aktualizacje na ten moment nie chronią przed BlackLotusem. Podatne mogą być również komputery z zainstalowanymi niższymi wersjami Windows (a nawet tym bardziej - ze względu na nieobecność niektórych elementów ochrony). Cóż, z takim zagrożeniem już dawno nie mieliśmy do czynienia i wygląda na to, że trzeba coś zrobić naprawdę szybko...
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
