ESET によると、UEFI セキュア ブート セキュリティ システムを備えた新しい Windows 11 でさえ、「BlackLotus」ブート キットからは安全ではありません。 ブートキットはすでに実際に使用されており、ハッカー フォーラムでも積極的に提供されています。
Windows ユーザーへの注意喚起: ESET の研究者は、Windows のセキュリティ システムである UEFI セキュア ブートの主要なセキュリティ機能をバイパスできるブートキットを特定しました。 セキュア ブートが有効化された完全に最新の Windows 11 システムであっても、悪意のあるプログラムに問題を引き起こすことはありません.ブート キットの機能とその個々の特性に基づいて、ヨーロッパの IT セキュリティ メーカーの専門家は、脅威が通称BlackLotusが関与。 UEFI ブート キットは、2022 年 5.000 月以降、ハッカー フォーラムで XNUMX ドルで販売されています。
また、Windows 11を更新したかどうかはわかりません
「2022 年末に、テレメトリのヒットから最初の手がかりを受け取りました。これらは、HTTP ダウンローダーである BlackLotus のコンポーネントであることが判明しました。 最初の分析の後、XNUMX つの BlackLotus インストーラーがサンプル内にコード パターンを発見したことがわかりました。 これにより、実行チェーン全体を調べることができ、ここで通常のマルウェアを扱っているだけではないことがわかりました」と、ブートキットの調査を主導した ESET の研究者である Martin Smolár は述べています。
脆弱性が悪用される
BlackLotus は、2022 年以上前の脆弱性 (CVE-21894-2022) を悪用して、UEFI セキュア ブートをバイパスし、コンピューターに永続的に埋め込まれます。 これは、実際にこの脆弱性を悪用した最初の既知のエクスプロイトです。 この脆弱性は Microsoft の XNUMX 年 XNUMX 月の更新プログラムで修正されましたが、その悪用は依然として可能です。 これは、影響を受ける、有効に署名されたバイナリがまだ UEFI ブロック リストに追加されていないためです。 BlackLotus は、正規の (しかしより脆弱な) バイナリの独自のコピーをシステムに持ち込むことで、これを悪用します。
幅広い可能性
BlackLotus は、BitLocker、HVCI、Windows Defender などのオペレーティング システムのセキュリティ メカニズムを無効にすることができます。 インストールされると、このマルウェアの主な目的は、カーネル ドライバー (特に削除から保護する) と HTTP ダウンローダーをインストールすることです。 後者は、コマンド アンド コントロール サーバーとの通信を担当し、ユーザー モードまたはカーネル モードの追加のペイロードをロードできます。 興味深いことに、侵害されたマシンがアルメニア、ベラルーシ、カザフスタン、モルドバ、ロシア、またはウクライナのロケールを使用している場合、一部の BlackLotus インストーラはブートキットのインストールを続行しません。
BlackLotus は、少なくとも 2022 年 XNUMX 月初旬からアンダーグラウンド フォーラムで宣伝および販売されてきました。 「ブート キットが本物であり、その広告が詐欺ではないという証拠があります」と Smolár 氏は言います。 「公的情報源とテレメトリーの両方から入手したBlackLotusサンプルの数が少ないことから、まだ多くのハッカーがBlackLotusを使い始めていないことが疑われます. このブートキットがクライムウェア グループの手に渡った場合、これが急速に変化することを恐れています。 配布が容易で、ボットネットなどを介してこれらのグループによって拡散される可能性があるためです。」
ブートキットとは?
UEFI ブートキットは、あらゆるコンピューターにとって非常に強力な脅威です。 オペレーティング システムの起動プロセスを完全に制御できるようになると、さまざまなオペレーティング システムのセキュリティ メカニズムを無効にし、起動の初期段階で独自のカーネル モードまたはユーザー モードの悪意のあるプログラムを挿入できます。 その結果、彼らは秘密裏に高い特権を持って活動しています。 現在までに、実際に発見され、公に説明されているブート キットはごくわずかです。 2018 年に ESET によって発見された最初の UEFI ファームウェア インプラントである LoJax などのファームウェア インプラントと比較して、UEFI ブートキットは、簡単にアクセスできる FAT32 ハード ドライブ パーティションに存在するため、ステルス性を失う可能性があります。 ただし、ブートローダーとして実行すると、ファームウェアの埋め込みから保護する複数のセキュリティ層を克服する必要なく、ほぼ同じ機能を使用できます。 「最良のヒントは、システムとそのセキュリティ ソリューションを最新の状態に保つことです。 これにより、潜在的な脅威がオペレーティング システムに侵入する前に早期に阻止される可能性が高くなります」と Smolár 氏は結論付けています。
UEFI とは何ですか?
UEFI は「Unified Extensible Firmware Interface」の略で、メインボードのファームウェアを表します。 これにより、起動プロセス中にハードウェアとソフトウェア間のインターフェイスが形成されます。 UEFI の重要な機能は、コンピューターをセキュア ブートで起動できることです。 これは、マルウェアがデバイスに侵入するのを防ぐためです。 そのため、このセキュリティ機能をバイパスすることは非常に危険です。
詳細はESET.comで
ESETについて ESET は、ブラチスラバ (スロバキア) に本社を置くヨーロッパの会社です。 1987 年以来、ESET は受賞歴のあるセキュリティ ソフトウェアを開発しており、すでに 100 億人を超えるユーザーが安全なテクノロジを利用できるように支援しています。 セキュリティ製品の幅広いポートフォリオは、すべての主要なプラットフォームをカバーし、世界中の企業と消費者にパフォーマンスとプロアクティブな保護の完璧なバランスを提供します。 同社は 180 を超える国にグローバルな販売ネットワークを持ち、イエナ、サンディエゴ、シンガポール、ブエノスアイレスにオフィスを構えています。 詳細については、www.eset.de にアクセスするか、LinkedIn、Facebook、Twitter でフォローしてください。