За словами ESET, навіть нова Windows 11 із системою безпеки UEFI Secure Boot не застрахована від завантажувального набору BlackLotus. Буткіт уже активний у дикій природі, а також активно пропонується на хакерських форумах.
Червоне попередження для користувачів Windows: дослідники ESET виявили буткіт, який здатний обійти основні функції безпеки UEFI Secure Boot — системи безпеки в Windows. Навіть повністю оновлена система Windows 11 з активованим Secure Boot не становить проблеми для шкідливої програми.Грунтуючись на функціональності набору завантажувачів та його індивідуальних характеристиках, експерти європейського виробника ІТ-безпеки припускають, що загроза відомий як BlackLotus. Завантажувальний набір UEFI продається на хакерських форумах за 2022 доларів з жовтня 5.000 року.
Також оновлена Windows 11 не впевнена
«Ми отримали перші підказки від звернень до нашої телеметрії наприкінці 2022 року. Це виявилося компонентом BlackLotus — завантажувача HTTP. Після початкового аналізу ми виявили, що шість інсталяторів BlackLotus виявили шаблони коду у зразках. Це дозволило нам перевірити весь ланцюжок виконання та побачити, що тут ми маємо справу не лише зі звичайним зловмисним програмним забезпеченням», — говорить Мартін Смолар, дослідник ESET, який керував розслідуванням буткітів.
Вразливість використовується
BlackLotus використовує вразливість (CVE-2022-21894), якій більше року, щоб обійти UEFI Secure Boot і остаточно впровадити себе в комп’ютер. Це перший відомий експлойт цієї вразливості в дикій природі. Хоча вразливість було виправлено в оновленні Microsoft за січень 2022 року, зловживання нею все ще можливе. Це пов’язано з тим, що уражені правильно підписані двійкові файли ще не додано до списку блокувань UEFI. BlackLotus використовує це, додаючи в систему власні копії легітимних, але більш вразливих двійкових файлів.
Широкий спектр можливостей
BlackLotus може вимикати такі механізми безпеки операційної системи, як BitLocker, HVCI та Windows Defender. Після встановлення основною метою шкідливого програмного забезпечення є встановлення драйвера ядра (який, серед іншого, воно захищає від видалення) і завантажувача HTTP. Останній відповідає за зв'язок із сервером команд і керування та може завантажувати додаткові корисні дані для режиму користувача або режиму ядра. Цікаво, що деякі інсталятори BlackLotus не продовжують встановлення буткіта, якщо скомпрометована машина використовує локалі з Вірменії, Білорусі, Казахстану, Молдови, Росії чи України.
BlackLotus рекламується та продається на підпільних форумах принаймні з початку жовтня 2022 року. «У нас є докази того, що комплект для завантаження справжній і що його реклама не є шахрайством», — каже Смолар. «Невелика кількість зразків BlackLotus, які ми отримали як із загальнодоступних джерел, так і з нашої телеметрії, змушує нас підозрювати, що ще не так багато хакерів почали його використовувати. Ми боїмося, що це швидко зміниться, якщо цей буткіт потрапить до рук злочинних груп. Тому що його легко розповсюджувати і він може поширюватися цими групами, наприклад, через ботнети».
Що таке набір для завантаження?
Буткіти UEFI є дуже потужною загрозою для будь-якого комп’ютера. Отримавши повний контроль над процесом завантаження операційної системи, вони можуть вимкнути різні механізми безпеки операційної системи та впровадити власні шкідливі програми в режимі ядра або користувача на ранніх етапах завантаження. Як наслідок, вони діють таємно та з високими привілеями. На сьогоднішній день у дикій природі виявлено лише кілька наборів для завантаження та публічно описано. Порівняно з імплантатами вбудованого програмного забезпечення, як-от LoJax, першим вбудованим програмним забезпеченням UEFI, відкритим ESET у 2018 році, буткіти UEFI можуть втратити свою прихованість, оскільки буткіти розміщені на легкодоступному розділі жорсткого диска FAT32. Однак, коли вони запускаються як завантажувач, вони мають майже однакові можливості без необхідності долати кілька рівнів безпеки, які захищають від імплантатів мікропрограми. «Найкраща порада — підтримувати систему та її рішення безпеки в актуальному стані. Це збільшує ймовірність того, що потенційну загрозу буде зупинено на ранній стадії, до того, як вона проникне в операційну систему», — підсумовує Смолар.
Що таке UEFI?
UEFI означає «Unified Extensible Firmware Interface» і описує мікропрограму материнської плати. Це, у свою чергу, формує інтерфейс між апаратним і програмним забезпеченням під час процесу завантаження. Важливою функцією UEFI є можливість запуску комп’ютера в режимі Secure Boot. Це робиться для того, щоб запобігти потраплянню шкідливих програм на пристрій. Ось чому обхід цієї функції безпеки такий небезпечний.
Більше на ESET.com
Про ESET ESET – європейська компанія зі штаб-квартирою в Братиславі (Словаччина). З 1987 року ESET розробляє відзначене нагородами програмне забезпечення безпеки, яке вже допомогло понад 100 мільйонам користувачів користуватися безпечними технологіями. Широке портфоліо продуктів безпеки охоплює всі основні платформи та пропонує компаніям і споживачам у всьому світі ідеальний баланс між продуктивністю та проактивним захистом. Компанія має глобальну мережу продажів у понад 180 країнах і офіси в Єні, Сан-Дієго, Сінгапурі та Буенос-Айресі. Для отримання додаткової інформації відвідайте www.eset.de або слідкуйте за нами в LinkedIn, Facebook і Twitter.