BlackLotus Secure Boot Bypass 멀웨어가 증가하도록 설정됨

Microsoft의 보안 부팅(완전히 패치된 시스템에서도)을 우회하는 최초의 실제 맬웨어인 BlackLotus는 모방범을 생성하고 다크 웹에서 사용하기 쉬운 부트킷으로 제공되어 펌웨어 공격자의 활동을 증가시키도록 영감을 줍니다. 보안 전문가들은 이번 주에 말했습니다.

즉, 기업은 지금부터 서버, 랩톱 및 워크스테이션의 무결성을 검증하기 위한 노력을 강화해야 합니다.

1월 XNUMX일, 사이버 보안 회사인 ESET은 BlackLotus 부트킷UEFI(Unified Extensible Firmware Interface) 보안 부팅으로 알려진 기본 Windows 보안 기능을 우회합니다. Microsoft는 XNUMX년 전에 Secure Boot를 도입했으며 현재는 다음 중 하나로 간주됩니다. Windows용 제로 트러스트 프레임워크의 기반 그것을 전복시키는 데 어려움이 있기 때문입니다.

그러나 위협 행위자와 보안 연구원은 Secure Boot 구현을 점점 더 많이 목표로 삼고 있습니다. 그만한 이유가 있습니다. 운영 체제 커널, 보안 앱 및 기타 소프트웨어가 작동하기 전에 공격자가 맬웨어를 실행할 수 있습니다. 이렇게 하면 일반 보안 에이전트가 탐지하지 못하는 영구적인 악성 코드를 이식할 수 있습니다. 또한 커널 모드에서 실행할 수 있는 기능을 제공하여 OS 재설치 및 하드 드라이브 교체 후에도 시스템의 다른 모든 프로그램을 제어 및 파괴하고 커널 수준에서 추가 맬웨어를 로드합니다.

다음과 같은 부트 기술의 일부 이전 취약점이 있었습니다. 2020년에 공개된 BootHole 결함 Linux 부트로더 GRUB2에 영향을 미쳤으며 XNUMX가지 Acer 노트북 모델의 펌웨어 결함 보안 부팅을 비활성화하는 데 사용할 수 있습니다. 미 국토안보부와 상무부는 최근에도 지속적인 위협에 대해 경고 공급망 보안 문제에 대한 보고서 초안에서 펌웨어 루트킷 및 부트킷에 의해 제기되었습니다. 그러나 BlackLotus는 펌웨어 문제에 대한 지분을 크게 높입니다.

Microsoft가 BlackLotus가 목표로 하는 결함(Baton Drop 또는 CVE-2022-21894), 패치는 악용을 더 어렵게 만들 뿐 불가능하지는 않습니다. 이번 주에 게시된 Eclypsium의 경고에 따르면 영향을 받는 사용자는 손상의 징후를 보지 못할 가능성이 높기 때문에 취약점의 영향을 측정하기 어려울 것입니다.

Eclypsium의 수석 보안 전도사인 Paul Asadoorian은 "공격자가 발판을 마련한다면 기업은 맹목적으로 도망칠 수 있습니다. 공격이 성공한다는 것은 공격자가 기존의 모든 보안 방어 수단을 우회하고 있음을 의미하기 때문입니다."라고 말했습니다. "그들은 로깅을 해제할 수 있으며 기본적으로 모든 것이 정상이라고 말하기 위해 시스템에 있을 수 있는 모든 종류의 방어 대책에 대해 거짓말을 할 수 있습니다."

이제 BlackLotus가 상용화되었으므로 유사한 제품의 개발을 위한 길을 닦았다고 연구자들은 지적합니다. ESET의 맬웨어 연구원인 Martin Smolár는 "앞으로 더 많은 위협 그룹이 보안 부팅 바이패스를 무기고에 통합할 것으로 예상합니다."라고 말했습니다. "모든 위협 행위자의 궁극적인 목표는 시스템에 대한 지속성이며 UEFI 지속성을 사용하면 다른 종류의 OS 수준 지속성보다 훨씬 더 은밀하게 작동할 수 있습니다."

패치로는 충분하지 않다

Microsoft가 Baton Drop을 XNUMX년 이상 전에 패치했지만 취약한 버전의 인증서는 여전히 유효하며, 이클립시움에 따르면. 손상된 시스템에 대한 액세스 권한이 있는 공격자는 취약한 부트로더를 설치한 다음 취약성을 악용하여 지속성과 더 높은 수준의 제어 권한을 얻을 수 있습니다.

Microsoft는 합법적인 Secure Boot 부트로더의 암호화 해시 목록을 유지 관리합니다. 취약한 부트 로더가 작동하지 않도록 하려면 회사는 해시를 취소해야 하지만 패치가 적용되지는 않았지만 합법적인 시스템이 작동하지 못하게 할 수도 있습니다.

Asadoorian은 "이 문제를 해결하려면 해당 소프트웨어의 해시를 취소하여 Secure Boot와 Microsoft의 자체 내부 프로세스에 해당 소프트웨어가 부팅 프로세스에서 더 이상 유효하지 않음을 알려야 합니다."라고 말했습니다. "그들은 철회를 발행하고 철회 목록을 업데이트해야 하지만 그렇게 하지 않고 있습니다. 그렇게 하면 많은 것이 깨질 것이기 때문입니다."

기업이 할 수 있는 최선의 방법은 정기적으로 펌웨어 및 폐기 목록을 업데이트하고 공격자가 수정했다는 표시가 있는지 엔드포인트를 모니터링하는 것이라고 이클립시움은 권고에서 말했다.

ESET의 Smolár, 누가 앞선 수사 주도 블랙로터스에, 1월 XNUMX일 성명에서 말했다 착취가 증가할 것으로 예상합니다.

그는 "공개 소스와 원격 측정 모두에서 얻을 수 있었던 적은 수의 BlackLotus 샘플로 인해 아직 많은 위협 행위자가 이를 사용하기 시작하지 않았다고 믿게 됩니다."라고 말했습니다. "부트킷의 손쉬운 배포와 봇넷을 사용하여 맬웨어를 유포하는 크라임웨어 그룹의 기능을 기반으로 이 부트킷이 크라임웨어 그룹의 손에 들어갈 경우 상황이 급격하게 변할 것을 우려합니다."

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/threat-intelligence/blacklotus-secure-boot-bypass-malware-set-to-ramp-up