BlackLotusیک بوت کیت مخفی Unified Extensible Firmware Interface (UEFI) به نام BlackLotus به اولین بدافزار شناخته‌شده عمومی تبدیل شده است که قادر به دور زدن سیستم دفاعی Secure Boot است[۱] که آن را به یک تهدید قوی در چشم‌انداز سایبری تبدیل می‌کند.

شرکت امنیت سایبری اسلواکی ESET در گزارشی که با The Hacker News به اشتراک گذاشته شده است، دراین‌باره گفت[۲]: «این بوت کیت می‌تواند حتی روی سیستم‌های کاملاً به‌روز ویندوز ۱۱ با فعال بودن UEFI Secure Boot اجرا شود».

بوت‌کیت‌های UEFI در firmware سیستم مستقر شده‌اند[۳] و امکان کنترل کامل بر فرآیند راه‌اندازی سیستم‌عامل (OS) را فراهم می‌کنند، درنتیجه غیرفعال کردن مکانیسم‌های امنیتی سطح سیستم‌عامل و استقرار payload های دلخواه در هنگام راه‌اندازی با امتیازات بالا امکان‌پذیر است.

این Toolkit قدرتمند و پایدار که برای فروش با قیمت ۵۰۰۰ دلار (و ۲۰۰ دلار در هر نسخه جدید بعدی) ارائه می‌شود، در اسمبلی و C برنامه ریزی شده است و ۸۰ کیلوبایت حجم دارد. همچنین دارای قابلیت‌های geofencing برای جلوگیری از آلوده شدن رایانه‌های ارمنستان، بلاروس، قزاقستان، مولداوی، رومانی، روسیه و اوکراین است.

جزئیات درباره BlackLotus برای اولین بار در اکتبر ۲۰۲۲ ظاهر شد[۴] و Sergey Lozhkin، محقق امنیتی کسپرسکی، آن را به‌عنوان یک ‌راه‌حل پیچیده crimeware توصیف کرد.

Scott Scheferman از Eclypsium دراین‌باره می‌گوید[۵]: «این نشان‌دهنده کمی «جهش» روبه‌جلو است، ازنظر سهولت استفاده، مقیاس‌پذیری، دسترسی، و مهم‌تر از همه، ازنظر پتانسیل تأثیرگذاری بسیار بیشتر در ماندگاری، فرار و/یا تخریب.»

به‌طور خلاصه، BlackLotus از یک نقص امنیتی ردیابی شده به‌عنوان [۶]CVE-2022-21894 (با نام مستعار [۷]Baton Drop) برای دور زدن محافظت‌های UEFI Secure Boot و راه‌اندازی پایداری استفاده می‌کند. این آسیب‌پذیری توسط مایکروسافت به‌عنوان بخشی از به‌روزرسانی سه‌شنبه‌های اول هر ماه در ژانویه ۲۰۲۲ برطرف شد[۸].

به گفته ESET، بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری، امکان اجرای کد دلخواه را در مراحل اولیه بوت فراهم می‌کند و به یک عامل تهدید اجازه می‌دهد تا اقدامات مخربی را در سیستمی با فعال بودن UEFI Secure Boot بدون دسترسی فیزیکی به آن انجام دهد.

BlackLotus

Martin Smolár، محقق ESET گفت: «این اولین سوءاستفاده عمومی و در سطح اینترنت از این آسیب‌پذیری است. بهره‌برداری از آن همچنان امکان‌پذیر است زیرا باینری‌های آسیب‌دیده و امضاشده معتبر هنوز به لیست لغو UEFI اضافه نشده‌اند[۹]

«BlackLotus از این مزیت استفاده می‌کند و کپی‌های خودش را از باینری‌های قانونی – اما آسیب‌پذیر – به سیستم می‌آورد تا از این آسیب‌پذیری بهره‌برداری کند و به‌طور مؤثر راه را برای حملات Bring Your Own Vulnerable Driver (BYOVD) هموار می‌کند[۱۰]

BlackLotus علاوه بر اینکه مجهز به خاموش کردن مکانیسم‌های امنیتی مانند BitLocker، یکپارچگی کد محافظت‌شده توسط Hypervisor (HVCI) و Windows Defender است[۱۱]، همچنین برای پیاده‌سازی یک kernel driver و یک دانلود کننده HTTP که با یک سرور فرمان و کنترل (C2) به‌منظور بازیابی یک بدافزار اضافی حالت کاربر یا حالت هسته ارتباط برقرار می‌کند، طراحی شده است.

نحوه دقیق عملیات مورداستفاده برای استقرار این بوت کیت هنوز ناشناخته است، اما با یک مؤلفه نصب کننده شروع می‌شود که مسئول نوشتن فایل‌ها در پارتیشن سیستم [۱۲]EFI، غیرفعال کردن HVCI و BitLocker و سپس راه‌اندازی مجدد میزبان است.

راه‌اندازی مجدد توسط مجهز کردن CVE-2022-21894 برای دستیابی به پایداری و نصب بوت‌کیت دنبال می‌شود و پس‌ازآن به‌طور خودکار در هر شروع سیستم برای استقرار kernel driver اجرا می‌شود.

درحالی‌که درایور وظیفه راه‌اندازی بارگیری HTTP حالت کاربر و اجرای بارهای مرحله بعدی در حالت هسته را دارد، دومی قادر است دستورات دریافتی از سرور C2 را از طریق HTTPS اجرا کند.

این شامل دانلود و اجرای یک درایور هسته، DLL یا یک فایل اجرایی معمولی،fetching  به‌روزرسانی‌های بوت‌کیت، و حتی حذف نصب بوت‌کیت از سیستم آلوده است.

Smolár دراین‌باره گفت: «آسیب‌پذیری‌های حیاتی زیادی که بر امنیت سیستم‌های UEFI تأثیر می‌گذارند در چند سال گذشته کشف شده‌اند. متأسفانه، به دلیل پیچیدگی کل اکوسیستم UEFI و مشکلات مربوط به زنجیره تأمین، بسیاری از این آسیب‌پذیری‌ها بسیاری از سیستم‌ها را حتی مدت‌ها پس از رفع آسیب‌پذیری‌ها آسیب‌پذیر کرده‌اند – یا حداقل پس‌ازاینکه به ما گفته‌شده رفع شده‌اند.»

“فقط بحث زمان بود که چه موقع کسی از این نقص‌ها استفاده کند و یک بوت‌کیت UEFI ایجاد کند که بتواند روی سیستم‌هایی با فعال بودن UEFI Secure Boot کار کند.”

 

منابع

[۱] https://apa.aut.ac.ir/?p=9217

[۲] https://www.welivesecurity.com/2023/03/01/blacklotus-uefi-bootkit-myth-confirmed

[۳] https://thehackernews.com/2022/07/experts-uncover-new-cosmicstrand-uefi.html

[۴] https://www.theregister.com/2022/10/13/blacklotus_malware_kaspersky

[۵] https://www.linkedin.com/feed/update/urn:li:share:6986711231885713408

[۶] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21894

[۷] https://github.com/Wack0/CVE-2022-21894

[۸] https://apa.aut.ac.ir/?p=8637

[۹] https://uefi.org/revocationlistfile

[۱۰] https://apa.aut.ac.ir/?p=9376

[۱۱] https://learn.microsoft.com/en-us/windows-hardware/drivers/bringup/device-guard-and-credential-guard

[۱۲] https://en.wikipedia.org/wiki/EFI_system_partition

[۱۳] https://thehackernews.com/2023/03/blacklotus-becomes-first-uefi-bootkit.html