BlackLotus παρακάμπτει Secure Boot, Defender, VBS και BitLocker

Το BlackLotus είναι ένα κακόβουλο λογισμικό που κυκλοφορεί στο διαδίκτυο από τα μέσα περίπου του περασμένου έτους. Αυτό που κάνει το bootkit πολύ επικίνδυνο είναι η ικανότητά του να παρακάμπτει τα συστήματα Boot ακόμη και σε πλήρως ενημερωμένα συστήματα (που σημαίνει ότι και οι προηγπύμενες εκδόσεις των Windows είναι επίσης ευάλωτες).

black windows 11

Το κακόβουλο λογισμικό δεν σταματά εκεί, καθώς πραγματοποιεί και τροποποιήσεις στο μητρώο για να απενεργοποιήσει την ακεραιότητα κώδικα που προστατεύεται από το Hypervisor (HVCI), μια λειτουργία Ασφάλειας που βασίζεται σε Virtualization (VBS), καθώς και την κρυπτογράφηση BitLocker. Απενεργοποιεί επίσης το Windows Defender χειραγωγώντας τον Early Launch Anti- (ELAM) driver και το Windows Defender file system filter driver. Ο απώτερος σκοπός του είναι η δημιουργία ενός προγράμματος λήψης που κατεβάζει κακόβουλα ωφέλιμα φορτία.

Αυτό το bootkit εκμεταλλεύεται ένα κενό ασφαλείας στο security boot που υπάρχει εδώ και ένα χρόνο χωρίς να επιδιορθωθεί (CVE-2022-21894). Αν και είχε επιδιορθωθεί πέρυσι τον Ιανουάριο, το exploit λειτουργεί ακόμα καθώς τα υπογεγραμμένα binaries δεν έχουν προστεθεί ακόμη στη λίστα ανάκλησης του UEFI.

Τι μπορεί να κάνει το bootkit BlackLotus:

Είναι σε θέση να τρέχει στα πιο , πλήρως ενημερωμένα συστήματα Windows 11 με ενεργοποιημένο το UEFI Secure Boot.

Εκμεταλλεύεται μια ευπάθεια πάνω από ένα χρόνο (CVE-2022-21894) για να παρακάμψει το UEFI Secure Boot και να ρυθμίσει το bootkit. Αυτή είναι η πρώτη δημόσια γνωστή κατάχρηση αυτής της ευπάθειας.

Παρόλο που η ευπάθεια επιδιορθώθηκε στην ενημέρωση Ιανουαρίου του 2022 της Microsoft, το exploit λειτουργεί ακόμα καθώς τα επηρεαζόμενα, έγκυρα υπογεγραμμένα binaries δεν έχουν προστεθεί ακόμη στη λίστα ανάκλησης του UEFI. Το BlackLotus το εκμεταλλεύεται αυτό, φέρνοντας τα δικά της αντίγραφα νόμιμων –αλλά ευάλωτων– binaries στο σύστημα για να εκμεταλλευτεί την ευπάθεια.

Είναι σε θέση να απενεργοποιήσει μηχανισμούς ασφαλείας του λειτουργικού συστήματος όπως το BitLocker, το HVCI και το Windows Defender.

Μόλις εγκατασταθεί, ο κύριος στόχος του bootkit είναι να αναπτύξει ένα kernel driver (το οποίο, μεταξύ άλλων, προστατεύει το bootkit από την αφαίρεση) και ένα πρόγραμμα HTTP downloader υπεύθυνο για την επικοινωνία με το C&C και ικανό να κατεβάσει επιπλέον κακόβουλο λογισμικό.

Περισσότερες τεχνικές λεπτομέρειες.

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















giorgos

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).