BlackLotus UEFI bootkit IOCs

Буткиты UEFI являются очень мощными угрозами, они полностью контролируют процесс загрузки ОС и поэтому способны отключать различные механизмы безопасности ОС и развертывать свои собственные полезные нагрузки в режиме ядра или пользовательском режиме на ранних стадиях запуска ОС. Это позволяет им действовать очень скрытно и с высокими привилегиями. До сих пор лишь некоторые из них были обнаружены в природе и публично описаны (например, несколько вредоносных образцов EFI, обнаруженных нами в 2020 году, или полнофункциональные буткиты UEFI, такие как обнаруженный нами в прошлом году буткит ESPecter или буткит FinSpy, обнаруженный исследователями из Kaspersky).

Буткиты UEFI могут проигрывать в скрытности по сравнению с имплантатами прошивки - такими как LoJax, первый "дикий" имплантат прошивки UEFI, обнаруженный командой ESET в 2018 году - поскольку буткиты располагаются на легкодоступном разделе диска FAT32. Однако запуск в качестве загрузчика дает им почти те же возможности, что и имплантаты прошивки, но без необходимости преодолевать многоуровневую защиту SPI-флэш, такую как биты защиты BWE, BLE и PRx, или защиту, обеспечиваемую аппаратным обеспечением (например, Intel Boot Guard). Конечно, UEFI Secure Boot стоит на пути буткитов UEFI, но существует немалое количество известных уязвимостей, позволяющих обойти этот важный механизм безопасности. И хуже всего то, что некоторые из них все еще легко эксплуатируются на современных системах даже на момент написания этой статьи - включая ту, которую использовал BlackLotus.

Расследование ESET началось с того, что в конце 2022 года в телеметрии было обнаружено несколько совпадений с компонентом пользовательского режима BlackLotus - HTTP-загрузчиком. После первоначальной оценки шаблоны кода, найденные в образцах, привели ESET к обнаружению шести установщиков BlackLotus. Это позволило нам изучить всю цепочку выполнения и понять, что мы имеем дело не с обычным вредоносным ПО.

Ниже приведены основные сведения о BlackLotus и хронология событий, связанных с ним:

• Он способен работать на последних, полностью исправленных системах Windows 11 с включенной функцией безопасной загрузки UEFI.
• Он использует уязвимость более чем годичной давности (CVE-2022-21894), чтобы обойти UEFI Secure Boot и установить постоянство для буткита. Это первое публично известное использование данной уязвимости в реальных условиях.
• Хотя уязвимость была устранена в обновлении Microsoft от января 2022 года, ее эксплуатация все еще возможна, поскольку затронутые ею двоичные файлы с действительной подписью до сих пор не добавлены в список отзыва UEFI. BlackLotus пользуется этим, принося в систему свои копии легитимных, но уязвимых двоичных файлов, чтобы использовать уязвимость.
• Он способен отключать такие механизмы безопасности ОС, как BitLocker, HVCI и Windows Defender.
• После установки основной задачей буткита является развертывание драйвера ядра (который, помимо прочего, защищает буткит от удаления), а также HTTP-загрузчика, отвечающего за связь с C&C и способного загружать дополнительные полезные нагрузки в пользовательском или ядерном режимах.
• BlackLotus рекламируется и продается на подпольных форумах по крайней мере с 6 октября 2022 года. В этом блоге мы приводим доказательства того, что буткит реален, а реклама не просто мошенничество.
• Интересно, что некоторые из проанализированных программ установки BlackLotus не продолжают установку буткита, если скомпрометированный хост использует одну из следующих локализаций:
  • Румынский (Молдова), ro-MD
  • русский (Молдова), ru-MD
  • Русский (Россия), ru-RU
  • Украинский (Украина), uk-UA
  • Белорусский (Беларусь), be-BY
  • Армянский (Армения), hy-AM
  • Казахский (Казахстан), kk-KZ

Indicators of Compromise

IPv4

• 104.21.22.185
• 164.90.172.211
• 185.145.245.123
• 185.150.24.114
• 190.147.189.122

Domains

• egscorp.net
• erdjknfweklsgwfmewfgref.com
• frassirishiproc.com
• harrysucksdick.com
• heikickgn.com
• myrepository.name
• myrepositoryx.com
• xrepositoryx.name

URLs

• https://egscorp.net/API/hpb_gate.php
• https://erdjknfweklsgwfmewfgref.com/API/hpb_gate.php
• https://frassirishiproc.com/API/hpb_gate.php
• https://harrysucksdick.com/API/hpb_gate.php
• https://heikickgn.com/API/hpb_gate.php
• https://myrepositoryx.com/network/API/hpb_gate.php
• https://xrepositoryx.name/network/API/hpb_gate.php

SHA1

• 05846d5b1d37ee2d716140de4f4f984cf1e631d1
• 06af3016accdb3dfe1c23657bf1bf91c13baa757
• 0c0e78bf97116e781dde0e00a1cd0c29e68d623d
• 0e6dd7110c38464ecaa55ee4e2fa303ada0edefb
• 111c4998f3264617a7a9d9bf662d4b1577445b20
• 164bb587109cfb20824303ad1609a65abb36c3e9
• 16b12cea54360aa42e1120e82c1e9bc0371cb635
• 17fa047c1f979b180644906fe9265f21af5b0509
• 1f3799fed3cf43254fe30dcdfdb8dc02d82e662b
• 2ce056ae323b0380b0e87225ea0ae087a33cd316
• 45701a83dec1dc71a48268c9d6d205f31d9e7ffb
• 4b882748faf2c6c360884c6812dd5bcbce75ebff
• 547faa2d64b85bf883955b723b07635c0a09326b
• 5a0074203abd5deb464ba0a79e14b7541a033216
• 5dc9cbd75abd830e83641a0265bffddd2f602815
• 6d8cee28da8bcf25a4d232feb0810452acada11d
• 71559c3e2f3950d4ee016f24ca54da17d28b9d82
• 74ff58fce8f19083d16df0109dc91d78c94342fa
• 91f832f46e4c38ecc9335460d46f6f71352cffed
• 97aec21042df47d39ac212761729c6be484d064d
• 994dc79255aeb662a672a1814280de73d405617a
• a5a530a91100ed5f07a5d74698b15c646dd44e16
• acc74217cbe3f2e727a826b34bde482dcae15be6
• adceec18ff009bed635d168e0b116e72096f18d2
• d1bbaa3d408e944c70b3815471eed7fa9aee6425
• d6bb89d8734b3e49725362dae9a868ae681e8bd6
• d6d3f3151b188a9da62deb95ea1d1abeff257914
• d82539bfc2cc7cb504be74ac74df696b13db486a
• dae7e7c4eec2ac0dc7963c44a5a4f47d930c5508
• dbc064f757c69ec43517eff496146b43cba949d1
• fff4f28287677caabc60c8ab36786c370226588d