Компанія ESET виявила новий буткіт, який здатний обходити важливу функцію безпеки платформи UEFI. Зокрема шкідливе програмне забезпечення може запускатися навіть в повністю оновленій системі Windows 11 з увімкненим UEFI Secure Boot. Проаналізувавши функціонал, спеціалісти ESET дійшли висновку, що буткіт є загрозою BlackLotus, яка продається на підпільних форумах за 5000 доларів.
«Розслідування почалося з виявлення телеметрією ESET наприкінці 2022 року компонента режиму користувача BlackLotus — завантажувача HTTP. Після початкової оцінки шаблони коду, виявлені у зразках, привели до шести інсталяторів BlackLotus. Це дозволило дослідити весь ланцюжок виконання та зрозуміти, що ми маємо справу не зі звичайним шкідливим програмним забезпеченням», — розповідає Мартін Смолар, дослідник ESET.
Буткіт використовує вже відому уразливість (CVE-2022-21894), щоб обійти UEFI Secure Boot та залишитися в системі. Незважаючи на її виправлення в оновленні Microsoft за січень 2022 року, використання уразливості все ще можливе, оскільки деякі правильно підписані двійкові файли ще не додано до списку відкликаних UEFI. BlackLotus користується цим, доставляючи власні копії легітимних, але уразливих двійкових файлів у систему.
Загроза здатна вимикати такі системи безпеки операційної системи, як BitLocker, HVCI та Windows Defender. Після встановлення основною метою буткіта є розгортання драйвера ядра і HTTP-завантажувача, відповідального за з’єднання із командним сервером та здатного завантажувати додаткові компоненти режиму користувача або режиму ядра.
При цьому, деякі інсталятори BlackLotus, проаналізовані ESET, не продовжують встановлення буткіта, якщо певний пристрій розташований в ряді країн, серед яких Україна, Вірменія, Казахстан, Молдова та інші.
BlackLotus рекламується та продається на підпільних форумах принаймні з початку жовтня 2022 року.
«Тепер ми можемо надати докази того, що буткіт справжній, а реклама — не просто шахрайство, — розповідає дослідник ESET. — Невелика кількість зразків BlackLotus, які ми змогли отримати із загальнодоступних джерел та телеметрії ESET, свідчить про те, що ще не так багато кіберзлочинців почали використовувати його. Однак якщо цей буткіт потрапить в руки до груп зловмисників, ситуація може швидко змінитися через простоту розгортання загрози та можливості її поширення за допомогою ботнетів».
За останні кілька років виявлено багато критичних уразливостей, що впливають на безпеку систем UEFI. На жаль, через складність усієї екосистеми UEFI та пов’язаних із цим проблем ланцюга постачання багато уразливостей залишаються невиправленими навіть через тривалий час після виявлення.
Варто зазначити, що буткіти UEFI — це дуже потужні загрози, які отримують повний контроль над процесом завантаження операційної системи і таким чином здатні вимикати різні механізми безпеки операційної системи та розгортати власні компоненти в режимі ядра або режимі користувача на початкових етапах завантаження. Це дозволяє їм запускатися дуже непомітно та мати розширені права. Поки що лише деякі з них були виявлені в реальному середовищі та детально описані.
Завдяки розташуванню в доступному розділі диска FAT32 руткіти UEFI легше виявити порівняно з модифікаціями вбудованого програмного забезпечення, такими як LoJax. Однак запуск буткітів у ролі завантажувача надає їм майже ті самі можливості без потреби обходити функції багаторівневої безпеки, які захищають від модифікацій вбудованого програмного забезпечення.
У будь-якому разі користувачам рекомендується регулярно оновлювати системи та продукти для захисту, щоб виявляти загрози на етапі проникнення та запобігти потенційній шкідливій активності на особистих пристроях та в корпоративних мережах.