Зловмисне програмне забезпечення BlackLotus Secure Boot Bypass налаштовано на збільшення

BlackLotus, перше зловмисне програмне забезпечення, що обходить Microsoft Secure Boot (навіть на повністю виправлених системах), створить копіювання та, доступне у простому у використанні завантажувальному пакеті в Dark Web, спонукає зловмисників посилити свою активність, цього тижня заявили експерти з безпеки.

Це означає, що компаніям потрібно посилити зусилля для перевірки цілісності своїх серверів, ноутбуків і робочих станцій, починаючи з цього моменту.

1 березня компанія з кібербезпеки ESET опублікувала аналіз Буткіт BlackLotus, яка обходить фундаментальну функцію безпеки Windows, відому як безпечне завантаження з уніфікованого розширюваного інтерфейсу мікропрограми (UEFI). Корпорація Майкрософт представила Secure Boot більше десяти років тому, і зараз вона вважається однією з них основи своєї системи Zero Trust для Windows через труднощі в його підриві.

Проте зловмисники та дослідники безпеки все більше й більше націлюються на впровадження Secure Boot, і це не без причини: оскільки UEFI є найнижчим рівнем мікропрограми в системі (відповідає за процес завантаження), пошук уразливості в коді інтерфейсу дозволяє зловмисник запускає зловмисне програмне забезпечення до того, як ядро ​​операційної системи, програми безпеки та будь-яке інше програмне забезпечення можуть почати діяти. Це забезпечує імплантацію стійкого шкідливого програмного забезпечення, яке звичайні агенти безпеки не виявлять. Він також пропонує можливість виконувати в режимі ядра, контролювати та руйнувати будь-яку іншу програму на машині — навіть після перевстановлення ОС і заміни жорсткого диска — і завантажувати додаткові шкідливі програми на рівні ядра.

Попередні були деякі вразливості в технології завантаження, наприклад недолік BootHole, розкритий у 2020 році що вплинуло на завантажувач Linux GRUB2, і недолік мікропрограми в п'яти моделях ноутбуків Acer який можна використати для вимкнення безпечного завантаження. Міністерство внутрішньої безпеки США та Міністерство торгівлі ще недавно попередили про постійну загрозу викликані руткітами та буткітами програмного забезпечення в чернетці звіту про проблеми безпеки ланцюга постачання. Але BlackLotus значно підвищує ставки на проблеми з прошивкою.

Це тому, що в той час як Microsoft виправила недолік, на який націлено BlackLotus (уразливість, відому як Baton Drop або CVE-2022-21894), патч лише ускладнює експлуатацію, а не унеможливлює. Відповідно до попередження від Eclypsium, опублікованого цього тижня, вплив уразливості буде важко виміряти, оскільки постраждалі користувачі, швидше за все, не побачать ознак компрометації.

«Якщо зловмиснику все-таки вдасться закріпитись, компанії можуть працювати наосліп, оскільки успішна атака означає, що зловмисник обходить усі ваші традиційні засоби захисту», — каже Пол Асадуріан, головний проповідник безпеки в Eclypsium. «Вони можуть вимкнути журналювання та, по суті, збрехати про всі види захисних заходів, які ви можете мати в системі, щоб сказати вам, що все гаразд».

Зараз, коли BlackLotus був комерціалізований, це відкриває шлях для розробки подібних товарів, відзначають дослідники. «Ми очікуємо, що в майбутньому більше груп загроз включатимуть у свій арсенал обхід безпечного завантаження», — говорить Мартін Смолар, дослідник зловмисного програмного забезпечення в ESET. «Кінцевою метою кожного загрозливого суб’єкта є збереження системи, і з постійністю UEFI вони можуть працювати набагато прихованіше, ніж з будь-яким іншим видом постійності на рівні ОС».

Латок недостатньо

Незважаючи на те, що Microsoft виправила Baton Drop більше року тому, сертифікат уразливої ​​версії залишається дійсним, згідно з Eclypsium. Зловмисники, які мають доступ до скомпрометованої системи, можуть встановити вразливий завантажувач, а потім використовувати вразливість, отримуючи наполегливість і більш привілейований рівень контролю.

Microsoft підтримує список криптографічних хешів законних завантажувачів Secure Boot. Щоб запобігти роботі вразливого завантажувача, компанії доведеться відкликати хеш, але це також завадить легітимним — хоча й невиправленим — системам працювати.

«Щоб це виправити, вам потрібно відкликати хеші цього програмного забезпечення, щоб повідомити Secure Boot і власний внутрішній процес Microsoft, що це програмне забезпечення більше не діє в процесі завантаження», — говорить Асадуріан. «Їм довелося б видати відкликання, оновити список відкликань, але вони цього не роблять, тому що це порушить багато речей».

Найкраще, що можуть зробити компанії, — це регулярно оновлювати своє мікропрограмне забезпечення та списки відкликань, а також відстежувати кінцеві точки на наявність ознак того, що зловмисник вніс зміни, йдеться у повідомленні Eclypsium.

Смолар з ESET, який керував попереднім розслідуванням в BlackLotus, йдеться у заяві від 1 березня очікувати зростання експлуатації.

«Невелика кількість зразків BlackLotus, які ми змогли отримати як із загальнодоступних джерел, так і з нашої телеметрії, змушує нас вважати, що не так багато суб’єктів загрози ще почали використовувати його», — сказав він. «Ми стурбовані тим, що ситуація швидко зміниться, якщо цей буткіт потрапить до груп злочинних програм, ґрунтуючись на простоті розгортання буткіта та можливостях груп злочинних програм поширювати шкідливе програмне забезпечення за допомогою своїх ботнетів».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
• джерело: https://www.darkreading.com/threat-intelligence/blacklotus-secure-boot-bypass-malware-set-to-ramp-up