BlackLotus 安全启动绕过恶意软件设置为斜坡

BlackLotus 是第一个绕过 Microsoft 安全启动（即使在完全修补的系统上）的野外恶意软件，它将产生模仿者，并且在黑暗网络上以易于使用的 bootkit 提供，激发固件攻击者增加他们的活动，安全专家本周表示。

这意味着公司需要从现在开始加大力度验证其服务器、笔记本电脑和工作站的完整性。

1 月 XNUMX 日，网络安全公司 ESET 发布了一份分析报告 BlackLotus 启动套件，它绕过了称为统一可扩展固件接口 (UEFI) 安全启动的基本 Windows 安全功能。 微软在十多年前推出了安全启动，现在它被认为是其中之一 Windows 零信任框架的基础 因为很难颠覆它。

然而，威胁参与者和安全研究人员越来越多地将安全启动实施作为目标，并且有充分的理由：因为 UEFI 是系统上最低级别的固件（负责启动过程），所以在接口代码中发现漏洞允许攻击者在操作系统内核、安全应用程序和任何其他软件发挥作用之前执行恶意软件。 这可确保植入普通安全代理无法检测到的持久性恶意软件。 它还提供了在内核模式下执行、控制和破坏机器上所有其他程序的能力——即使在操作系统重新安装和硬盘驱动器更换之后——并在内核级别加载额外的恶意软件。

之前的boot技术存在一些漏洞，比如 2020年披露的BootHole漏洞 影响了 Linux 引导加载程序 GRUB2，以及 五款 Acer 笔记本电脑型号存在固件缺陷 可用于禁用安全启动。 美国国土安全部和商务部甚至最近 警告持续存在的威胁 由固件 rootkit 和 bootkit 在供应链安全问题报告草案中提出。 但 BlackLotus 显着提高了固件问题的风险。

这是因为虽然 Microsoft 修补了 BlackLotus 针对的漏洞（称为 Baton Drop 或 CVE-2022-21894)，该补丁只会使利用变得更加困难——并非不可能。 根据 Eclypsium 本周发布的警告，该漏洞的影响将难以衡量，因为受影响的用户可能看不到妥协的迹象。

Eclypsium 首席安全布道师 Paul Asadoorian 表示：“如果攻击者确实设法站稳脚跟，公司可能会盲目行动，因为一次成功的攻击意味着攻击者正在绕过您所有的传统安全防御措施。” “他们可以关闭日志记录，并且基本上可以对系统上可能拥有的各种防御措施撒谎，告诉你一切都很好。”

研究人员指出，现在 BlackLotus 已经商业化，为类似产品的开发铺平了道路。 ESET 恶意软件研究员 Martin Smolár 表示：“我们预计未来会看到更多威胁组织将安全启动绕过技术纳入他们的武器库。” “每个威胁参与者的最终目标都是在系统上持久存在，而通过 UEFI 持久性，他们可以比任何其他类型的操作系统级持久性更隐蔽地运行。”

打补丁还不够

尽管微软在一年多前修补了 Baton Drop，但漏洞版本的证书仍然有效， 根据 Eclypsium. 有权访问受感染系统的攻击者可以安装易受攻击的引导加载程序，然后利用该漏洞，获得持久性和更高特权级别的控制。

Microsoft 维护着合法安全引导引导加载程序的加密哈希列表。 为了防止易受攻击的引导加载程序工作，该公司必须撤销哈希，但这也会阻止合法的——尽管未打补丁——系统工作。

“要解决此问题，您必须撤销该软件的哈希值，以告知安全启动和 Microsoft 自己的内部流程该软件在启动过程中不再有效，”Asadoorian 说。 “他们将不得不发布撤销，更新撤销列表，但他们没有这样做，因为这会破坏很多东西。”

Eclypsium 在其咨询中表示，公司能做的最好的事情就是定期更新他们的固件和撤销列表，并监控端点是否有攻击者进行修改的迹象。

ESET 的 Smolár，谁 领导了较早的调查 进入黑莲花， 在 1 月 XNUMX 日的声明中说 期望剥削会加剧。

“我们能够从公共资源和遥测中获得的 BlackLotus 样本数量很少，这让我们相信还没有多少威胁者开始使用它，”他说。 “我们担心，如果这个 bootkit 落入犯罪软件集团的手中，情况会迅速发生变化，这是基于 bootkit 的轻松部署和犯罪软件集团使用其僵尸网络传播恶意软件的能力。”

• SEO 支持的内容和 PR 分发。 今天得到放大。
• 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
• Sumber: https://www.darkreading.com/threat-intelligence/blacklotus-secure-boot-bypass-malware-set-to-ramp-up