มัลแวร์ BlackLotus Secure Boot Bypass ตั้งค่าเป็น Ramp Up

BlackLotus มัลแวร์ในธรรมชาติตัวแรกที่เลี่ยงผ่าน Secure Boot ของ Microsoft (แม้ในระบบที่มีแพตช์เต็มรูปแบบ) จะวางไข่เลียนแบบและพร้อมใช้งานในชุดบูตที่ใช้งานง่ายบน Dark Web กระตุ้นให้ผู้โจมตีเฟิร์มแวร์เพิ่มกิจกรรมของพวกเขา ผู้เชี่ยวชาญด้านความปลอดภัยกล่าวในสัปดาห์นี้

ซึ่งหมายความว่าบริษัทจำเป็นต้องเพิ่มความพยายามในการตรวจสอบความสมบูรณ์ของเซิร์ฟเวอร์ แล็ปท็อป และเวิร์กสเตชันของตน เริ่มตั้งแต่ตอนนี้

เมื่อวันที่ 1 มีนาคม บริษัทด้านความปลอดภัยทางไซเบอร์ ESET ได้เผยแพร่บทวิเคราะห์ของ ชุดแต่งบูท BlackLotusซึ่งข้ามคุณสมบัติการรักษาความปลอดภัยของ Windows ขั้นพื้นฐานที่เรียกว่า Unified Extensible Firmware Interface (UEFI) Secure Boot Microsoft เปิดตัว Secure Boot เมื่อกว่าทศวรรษที่แล้ว และตอนนี้ถือว่าเป็นหนึ่งในนั้น รากฐานของเฟรมเวิร์ก Zero Trust สำหรับ Windows เพราะความยากในการล้มล้างมัน

แต่นักคุกคามและนักวิจัยด้านความปลอดภัยได้กำหนดเป้าหมายการใช้งาน Secure Boot มากขึ้นเรื่อยๆ และด้วยเหตุผลที่ดี: เนื่องจาก UEFI เป็นเฟิร์มแวร์ระดับต่ำสุดในระบบ (รับผิดชอบกระบวนการบูทเครื่อง) การค้นหาช่องโหว่ในรหัสอินเทอร์เฟซช่วยให้ ผู้โจมตีเพื่อรันมัลแวร์ก่อนที่เคอร์เนลของระบบปฏิบัติการ แอปความปลอดภัย และซอฟต์แวร์อื่น ๆ จะทำงาน สิ่งนี้ทำให้มั่นใจได้ว่าการฝังมัลแวร์ถาวรที่เจ้าหน้าที่รักษาความปลอดภัยทั่วไปตรวจไม่พบ นอกจากนี้ยังมีความสามารถในการดำเนินการในโหมดเคอร์เนล เพื่อควบคุมและล้มล้างโปรแกรมอื่นๆ ทั้งหมดบนเครื่อง — แม้หลังจากติดตั้งระบบปฏิบัติการใหม่และเปลี่ยนฮาร์ดไดร์ฟ — และโหลดมัลแวร์เพิ่มเติมที่ระดับเคอร์เนล

ก่อนหน้านี้มีช่องโหว่บางอย่างในเทคโนโลยีการบู๊ต เช่น ข้อบกพร่อง BootHole ที่เปิดเผยในปี 2020 ที่ส่งผลกระทบต่อ Linux bootloader GRUB2 และ ข้อบกพร่องของเฟิร์มแวร์ในแล็ปท็อป Acer ห้ารุ่น ที่สามารถใช้เพื่อปิดใช้งาน Secure Boot กระทรวงความมั่นคงแห่งมาตุภูมิและกระทรวงพาณิชย์ของสหรัฐฯ เมื่อเร็วๆ นี้ เตือนเกี่ยวกับภัยคุกคามอย่างต่อเนื่อง เกิดจากรูทคิทของเฟิร์มแวร์และบูทคิทในร่างรายงานเกี่ยวกับปัญหาด้านความปลอดภัยของห่วงโซ่อุปทาน แต่ BlackLotus เพิ่มเงินเดิมพันในปัญหาเฟิร์มแวร์อย่างมาก

นั่นเป็นเพราะในขณะที่ Microsoft แก้ไขข้อบกพร่องที่ BlackLotus กำหนดเป้าหมาย (ช่องโหว่ที่เรียกว่า Baton Drop หรือ CVE-2022-21894) แพตช์นี้มีแต่จะทำให้การแสวงหาประโยชน์ทำได้ยากขึ้น ไม่ใช่เป็นไปไม่ได้ และผลกระทบของช่องโหว่นั้นวัดได้ยาก เนื่องจากผู้ใช้ที่ได้รับผลกระทบมักจะไม่เห็นสัญญาณของการประนีประนอม ตามคำเตือนจาก Eclypsium ที่เผยแพร่ในสัปดาห์นี้

“หากผู้โจมตีสามารถตั้งหลักได้ บริษัทต่างๆ ก็อาจมองไม่เห็นทาง เพราะการโจมตีที่ประสบความสำเร็จหมายความว่าผู้โจมตีกำลังหลีกเลี่ยงการป้องกันความปลอดภัยแบบเดิมทั้งหมดของคุณ” Paul Asadoorian หัวหน้าผู้ประกาศข่าวประเสริฐด้านความปลอดภัยของ Eclypsium กล่าว “พวกเขาสามารถปิดการบันทึก และโดยพื้นฐานแล้วโกหกมาตรการป้องกันทุกรูปแบบที่คุณอาจมีในระบบเพื่อบอกคุณว่าทุกอย่างเรียบร้อยดี”

นักวิจัยตั้งข้อสังเกตว่า ตอนนี้ BlackLotus ได้ถูกขายในเชิงพาณิชย์แล้ว เป็นการปูทางสำหรับการพัฒนาสินค้าประเภทเดียวกัน “เราคาดว่าจะเห็นกลุ่มภัยคุกคามจำนวนมากขึ้นที่รวมการบายพาสการบู๊ตแบบปลอดภัยไว้ในคลังแสงของพวกเขาในอนาคต” Martin Smolár นักวิจัยด้านมัลแวร์ของ ESET กล่าว “เป้าหมายสูงสุดของผู้ก่อภัยคุกคามทุกคนคือการคงอยู่ของระบบ และด้วยการคงอยู่ของ UEFI พวกเขาสามารถทำงานได้อย่างลับๆ มากกว่าการคงอยู่ระดับ OS ประเภทอื่นๆ”

การแพทช์ไม่เพียงพอ

แม้ว่า Microsoft จะแก้ไข Baton Drop เมื่อกว่าปีที่แล้ว แต่ใบรับรองของเวอร์ชันที่มีช่องโหว่นั้นยังคงใช้ได้ ตาม Eclypsium. ผู้โจมตีที่มีสิทธิ์เข้าถึงระบบที่ถูกบุกรุกสามารถติดตั้ง bootloader ที่มีช่องโหว่ จากนั้นใช้ประโยชน์จากช่องโหว่ เพิ่มความคงอยู่และระดับการควบคุมที่มีสิทธิพิเศษมากขึ้น

Microsoft เก็บรักษารายการแฮชการเข้ารหัสของ Secure Boot bootloaders ที่ถูกต้องตามกฎหมาย เพื่อป้องกันไม่ให้บูตโหลดเดอร์ที่มีช่องโหว่ทำงาน บริษัทจะต้องยกเลิกแฮช แต่นั่นก็จะป้องกันไม่ให้ระบบที่ถูกต้องแม้ว่าจะไม่ได้แพตช์ทำงานก็ตาม

“ในการแก้ไขปัญหานี้ คุณต้องยกเลิกแฮชของซอฟต์แวร์นั้นเพื่อบอก Secure Boot และกระบวนการภายในของ Microsoft ว่าซอฟต์แวร์นั้นใช้ไม่ได้อีกต่อไปในกระบวนการบู๊ต” Asadoorian กล่าว “พวกเขาจะต้องออกหนังสือเพิกถอน อัปเดตรายการเพิกถอน แต่พวกเขาไม่ทำอย่างนั้น เพราะมันจะทำให้หลายสิ่งหลายอย่างเสียหาย”

สิ่งที่ดีที่สุดที่บริษัทต่างๆ สามารถทำได้คืออัปเดตเฟิร์มแวร์และรายการเพิกถอนเป็นประจำ และตรวจสอบจุดสิ้นสุดเพื่อหาข้อบ่งชี้ว่าผู้โจมตีได้ทำการแก้ไข Eclypsium กล่าวในคำแนะนำ

Smolár จาก ESET นำการสอบสวนก่อนหน้านี้ เป็นแบล็คโลตัส กล่าวในแถลงการณ์วันที่ 1 มีนาคม เพื่อคาดหวังให้เกิดการแสวงประโยชน์เพิ่มขึ้น

“ตัวอย่าง BlackLotus จำนวนน้อยที่เราสามารถหาได้ ทั้งจากแหล่งข้อมูลสาธารณะและ telemetry ของเรา ทำให้เราเชื่อว่ามีภัยคุกคามไม่กี่คนที่เริ่มใช้มัน” เขากล่าว “เรากังวลว่าสิ่งต่าง ๆ จะเปลี่ยนแปลงอย่างรวดเร็วหาก bootkit นี้ตกอยู่ในมือของกลุ่ม crimeware เนื่องจากการปรับใช้ที่ง่ายดายของ bootkit และความสามารถของกลุ่ม crimeware ในการแพร่กระจายมัลแวร์โดยใช้ botnet”

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/threat-intelligence/blacklotus-secure-boot-bypass-malware-set-to-ramp-up