BlackLotus セキュア ブート バイパス マルウェアが急増

BlackLotus は、Microsoft のセキュア ブートを (完全にパッチが適用されたシステム上であっても) バイパスする最初の野生のマルウェアであり、模倣者を生み出し、ダーク Web 上の使いやすいブートキットで入手できるため、ファームウェアの攻撃者に活動を活発化させます。セキュリティの専門家は今週、次のように述べています。

つまり、企業はサーバー、ラップトップ、およびワークステーションの整合性を検証するための取り組みを今すぐ開始する必要があります。

1 月 XNUMX 日、サイバーセキュリティ会社の ESET は、 BlackLotus ブートキットこれは、Unified Extensible Firmware Interface (UEFI) セキュア ブートと呼ばれる基本的な Windows セキュリティ機能をバイパスします。 Microsoft は XNUMX 年以上前にセキュア ブートを導入しました。 Windows 向けのゼロ トラスト フレームワークの基盤 それを転覆するのが難しいからです。

しかし、攻撃者やセキュリティ研究者はセキュア ブートの実装をますます標的にしていますが、これには正当な理由があります。オペレーティング システム カーネル、セキュリティ アプリ、およびその他のソフトウェアが動作する前に、攻撃者がマルウェアを実行する可能性があります。 これにより、通常のセキュリティ エージェントでは検出されない永続的なマルウェアの埋め込みが保証されます。 また、カーネル モードで実行し、OS の再インストールやハード ドライブの交換後であっても、マシン上の他のすべてのプログラムを制御および破壊し、追加のマルウェアをカーネル レベルでロードする機能も提供します。

ブート テクノロジーには以前からいくつかの脆弱性がありました。 2020 年に公開された BootHole の欠陥 Linux ブートローダー GRUB2 に影響を与えたもの、および XNUMX つの Acer ラップトップ モデルのファームウェアの欠陥 これは、セキュア ブートを無効にするために使用できます。 米国国土安全保障省と商務省は最近でも 持続的な脅威について警告した サプライ チェーンのセキュリティ問題に関するドラフト レポートで、ファームウェア ルートキットとブートキットによって提示されます。 しかし、BlackLotus はファームウェアの問題に大きく関与しています。

これは、Microsoft が BlackLotus が標的とする脆弱性 (Baton Drop または CVE-2022-21894）、パッチはエクスプロイトをより困難にするだけであり、不可能ではありません. また、今週公開された Eclypsium の警告によると、影響を受けるユーザーはセキュリティ侵害の兆候に気付かない可能性が高いため、脆弱性の影響を測定するのは困難です。

Eclypsium のプリンシパル セキュリティ エバンジェリストである Paul Asadoorian は、次のように述べています。 「彼らはログをオフにすることができ、基本的に、システムにあるあらゆる種類の防御策に嘘をつき、すべてが大丈夫だと伝えます。」

BlackLotus が商品化された今、同様の製品の開発への道が開かれている、と研究者は指摘しています。 ESET のマルウェア研究者である Martin Smolár は次のように述べています。 「すべての脅威アクターの最終的な目標は、システム上での持続性です。UEFI の持続性を使用すると、他の種類の OS レベルの持続性よりもはるかにステルスに動作できます。」

パッチ適用だけでは不十分

Microsoft は XNUMX 年以上前に Baton Drop にパッチを適用しましたが、脆弱なバージョンの証明書は有効なままです。 エクリプシウムによると. 侵害されたシステムにアクセスできる攻撃者は、脆弱なブートローダーをインストールして脆弱性を悪用し、永続性とより特権レベルの制御を取得できます。

Microsoft は、正当なセキュア ブート ブートローダーの暗号化ハッシュのリストを保持しています。 脆弱なブートローダーが機能しないようにするには、会社はハッシュを取り消す必要がありますが、そうすると、パッチが適用されていなくても、正規のシステムが機能しなくなります。

「これを修正するには、そのソフトウェアのハッシュを無効にして、そのソフトウェアがブート プロセスで有効でなくなったことをセキュア ブートと Microsoft の内部プロセスに通知する必要があります」と Asadoorian 氏は言います。 「彼らは失効を発行し、失効リストを更新する必要がありますが、多くのことが壊れてしまうため、そうしていません。」

企業ができる最善の方法は、ファームウェアと失効リストを定期的に更新し、エンドポイントを監視して、攻撃者が変更を加えた兆候がないかどうかを確認することです。

ESET の Smolár 氏 以前の調査を主導した BlackLotusに、 1月XNUMX日の声明で述べた 搾取が増えることを期待します。

「公的情報源とテレメトリーの両方から入手できた BlackLotus サンプルの数が少ないことから、まだ多くの攻撃者が BlackLotus を使用し始めているとは思えません」と彼は言いました。 「このブートキットがクライムウェア グループの手に渡った場合、状況が急速に変化することを懸念しています。これは、ブートキットの簡単な展開と、ボットネットを使用してマルウェアを拡散するクライムウェア グループの能力に基づいています。」

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/threat-intelligence/blacklotus-secure-boot-bypass-malware-set-to-ramp-up