BlackLotus Secure Boot Bypass Malware ustawiony na przyspieszenie

BlackLotus, pierwsze złośliwe oprogramowanie, które omija Bezpieczny rozruch Microsoftu (nawet na w pełni załatanych systemach), będzie tworzyć naśladowców i, dostępne w łatwym w użyciu bootkicie w Dark Web, zainspiruje osoby atakujące oprogramowanie układowe do zwiększenia aktywności, — stwierdzili w tym tygodniu eksperci ds. bezpieczeństwa.

Oznacza to, że firmy muszą zwiększyć wysiłki w celu sprawdzenia integralności swoich serwerów, laptopów i stacji roboczych, zaczynając już teraz.

1 marca firma ESET zajmująca się cyberbezpieczeństwem opublikowała analizę Pakiet startowy BlackLotus, który omija podstawową funkcję zabezpieczeń systemu Windows znaną jako Unified Extensible Firmware Interface (UEFI) Secure Boot. Firma Microsoft wprowadziła Bezpieczny rozruch ponad dekadę temu i jest obecnie uważana za jedną z nich fundamenty platformy Zero Trust dla systemu Windows ze względu na trudność jego obalenia.

Jednak cyberprzestępcy i badacze bezpieczeństwa coraz częściej celowali w implementacje Bezpiecznego rozruchu i nie bez powodu: ponieważ UEFI jest najniższym poziomem oprogramowania układowego w systemie (odpowiedzialnym za proces uruchamiania), znalezienie luki w kodzie interfejsu umożliwia atakującemu do wykonania złośliwego oprogramowania, zanim jądro systemu operacyjnego, aplikacje zabezpieczające i jakiekolwiek inne oprogramowanie będą mogły zacząć działać. Zapewnia to implantację trwałego złośliwego oprogramowania, którego nie wykryją zwykłe środki bezpieczeństwa. Oferuje również możliwość uruchamiania w trybie jądra, kontrolowania i obalania każdego innego programu na komputerze — nawet po ponownej instalacji systemu operacyjnego i wymianie dysku twardego — oraz ładowania dodatkowego złośliwego oprogramowania na poziomie jądra.

W technologii rozruchu występowały już pewne luki, takie jak luka BootHole ujawniona w 2020 roku które wpłynęły na bootloader Linuksa GRUB2 i luka w oprogramowaniu w pięciu modelach laptopów Acer którego można użyć do wyłączenia Bezpiecznego rozruchu. Amerykański Departament Bezpieczeństwa Wewnętrznego i Departament Handlu jeszcze niedawno ostrzeżony o utrzymującym się zagrożeniu rootkitów i bootkitów oprogramowania sprzętowego w projekcie raportu na temat kwestii bezpieczeństwa łańcucha dostaw. Ale BlackLotus znacznie podnosi stawkę w przypadku problemów z oprogramowaniem układowym.

To dlatego, że podczas gdy Microsoft załatał lukę, której celem jest BlackLotus (luka znana jako Baton Drop lub CVE-2022-21894), łatka tylko utrudnia eksploatację — nie uniemożliwia. A wpływ luki będzie trudny do zmierzenia, ponieważ dotknięci nią użytkownicy prawdopodobnie nie zobaczą oznak kompromisu, zgodnie z ostrzeżeniem Eclypsium opublikowanym w tym tygodniu.

„Jeśli atakującemu uda się zdobyć przyczółek, firmy mogą działać na ślepo, ponieważ udany atak oznacza, że ​​atakujący omija wszystkie tradycyjne mechanizmy obronne” — mówi Paul Asadoorian, główny ewangelista bezpieczeństwa w firmie Eclypsium. „Mogą wyłączyć rejestrowanie i zasadniczo okłamywać każdy rodzaj obronnego środka zaradczego, jaki możesz mieć w systemie, aby powiedzieć ci, że wszystko jest w porządku”.

Teraz, gdy BlackLotus został skomercjalizowany, toruje drogę do rozwoju podobnych produktów, zauważają naukowcy. „Spodziewamy się, że w przyszłości więcej grup zagrożeń włączy do swojego arsenału obejścia bezpiecznego rozruchu” — mówi Martin Smolár, badacz szkodliwego oprogramowania w firmie ESET. „Ostatecznym celem każdego atakującego jest trwałość w systemie, a dzięki trwałości UEFI mogą one działać znacznie bardziej ukradkowo niż w przypadku jakiegokolwiek innego rodzaju trwałości na poziomie systemu operacyjnego”.

Łatanie to za mało

Mimo że Microsoft załatał Baton Drop ponad rok temu, certyfikat wersji podatnej na ataki pozostaje ważny, według Eclypsium. Atakujący, którzy mają dostęp do zaatakowanego systemu, mogą zainstalować podatny na ataki program ładujący, a następnie wykorzystać lukę, zyskując trwałość i uprzywilejowany poziom kontroli.

Firma Microsoft prowadzi listę skrótów kryptograficznych legalnych programów ładujących Bezpieczny rozruch. Aby uniemożliwić działanie podatnego na ataki programu ładującego, firma musiałaby cofnąć hash, ale uniemożliwiłoby to również działanie legalnych — choć niezałatanych — systemów.

„Aby to naprawić, musisz odwołać skróty tego oprogramowania, aby poinformować Bezpieczny rozruch i własny wewnętrzny proces Microsoftu, że to oprogramowanie nie jest już ważne w procesie rozruchu” — mówi Asadoorian. „Musieliby wydać odwołanie, zaktualizować listę odwołań, ale tego nie robią, ponieważ zepsułoby to wiele rzeczy”.

Najlepsze, co firmy mogą zrobić, to regularnie aktualizować oprogramowanie układowe i listy odwołań oraz monitorować punkty końcowe pod kątem oznak, że atakujący dokonał modyfikacji, powiedział Eclypsium w swoim poradniku.

Smolár firmy ESET, który prowadził wcześniejsze śledztwo w BlackLotus, — napisano w oświadczeniu z 1 marca spodziewać się wzrostu wyzysku.

„Niewielka liczba próbek BlackLotus, które udało nam się uzyskać, zarówno ze źródeł publicznych, jak i z naszych danych telemetrycznych, pozwala sądzić, że niewielu cyberprzestępców zaczęło jeszcze z niego korzystać” — powiedział. „Obawiamy się, że sytuacja ulegnie szybkiej zmianie, jeśli ten bootkit dostanie się w ręce grup przestępczych, w oparciu o łatwe wdrażanie bootkita i możliwości grup przestępczych do rozprzestrzeniania złośliwego oprogramowania za pomocą ich botnetów”.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
• Źródło: https://www.darkreading.com/threat-intelligence/blacklotus-secure-boot-bypass-malware-set-to-ramp-up