Το BlackLotus είναι ένα κακόβουλο λογισμικό που κυκλοφορεί στο διαδίκτυο από τα μέσα περίπου του περασμένου έτους. Αυτό που κάνει το bootkit πολύ επικίνδυνο είναι η ικανότητά του να παρακάμπτει τα συστήματα Secure Boot ακόμη και σε πλήρως ενημερωμένα συστήματα Windows 11 (που σημαίνει ότι και οι προηγπύμενες εκδόσεις των Windows είναι επίσης ευάλωτες).
Το κακόβουλο λογισμικό δεν σταματά εκεί, καθώς πραγματοποιεί και τροποποιήσεις στο μητρώο για να απενεργοποιήσει την ακεραιότητα κώδικα που προστατεύεται από το Hypervisor (HVCI), μια λειτουργία Ασφάλειας που βασίζεται σε Virtualization (VBS), καθώς και την κρυπτογράφηση BitLocker. Απενεργοποιεί επίσης το Windows Defender χειραγωγώντας τον Early Launch Anti-Malware (ELAM) driver και το Windows Defender file system filter driver. Ο απώτερος σκοπός του είναι η δημιουργία ενός προγράμματος λήψης HTTP που κατεβάζει κακόβουλα ωφέλιμα φορτία.
Αυτό το bootkit εκμεταλλεύεται ένα κενό ασφαλείας στο security boot που υπάρχει εδώ και ένα χρόνο χωρίς να επιδιορθωθεί (CVE-2022-21894). Αν και είχε επιδιορθωθεί πέρυσι τον Ιανουάριο, το exploit λειτουργεί ακόμα καθώς τα υπογεγραμμένα binaries δεν έχουν προστεθεί ακόμη στη λίστα ανάκλησης του UEFI.
Τι μπορεί να κάνει το bootkit BlackLotus:
Είναι σε θέση να τρέχει στα πιο πρόσφατα, πλήρως ενημερωμένα συστήματα Windows 11 με ενεργοποιημένο το UEFI Secure Boot.
Εκμεταλλεύεται μια ευπάθεια πάνω από ένα χρόνο (CVE-2022-21894) για να παρακάμψει το UEFI Secure Boot και να ρυθμίσει το bootkit. Αυτή είναι η πρώτη δημόσια γνωστή κατάχρηση αυτής της ευπάθειας.
Παρόλο που η ευπάθεια επιδιορθώθηκε στην ενημέρωση Ιανουαρίου του 2022 της Microsoft, το exploit λειτουργεί ακόμα καθώς τα επηρεαζόμενα, έγκυρα υπογεγραμμένα binaries δεν έχουν προστεθεί ακόμη στη λίστα ανάκλησης του UEFI. Το BlackLotus το εκμεταλλεύεται αυτό, φέρνοντας τα δικά της αντίγραφα νόμιμων –αλλά ευάλωτων– binaries στο σύστημα για να εκμεταλλευτεί την ευπάθεια.
Είναι σε θέση να απενεργοποιήσει μηχανισμούς ασφαλείας του λειτουργικού συστήματος όπως το BitLocker, το HVCI και το Windows Defender.
Μόλις εγκατασταθεί, ο κύριος στόχος του bootkit είναι να αναπτύξει ένα kernel driver (το οποίο, μεταξύ άλλων, προστατεύει το bootkit από την αφαίρεση) και ένα πρόγραμμα HTTP downloader υπεύθυνο για την επικοινωνία με το C&C και ικανό να κατεβάσει επιπλέον κακόβουλο λογισμικό.
Περισσότερες τεχνικές λεπτομέρειες.