Буткиты UEFI являются очень мощными угрозами, они полностью контролируют процесс загрузки ОС и поэтому способны отключать различные механизмы безопасности ОС и развертывать свои собственные полезные нагрузки в режиме ядра или пользовательском режиме на ранних стадиях запуска ОС. Это позволяет им действовать очень скрытно и с высокими привилегиями. До сих пор лишь некоторые из них были обнаружены в природе и публично описаны (например, несколько вредоносных образцов EFI, обнаруженных нами в 2020 году, или полнофункциональные буткиты UEFI, такие как обнаруженный нами в прошлом году буткит ESPecter или буткит FinSpy, обнаруженный исследователями из Kaspersky).
Буткиты UEFI могут проигрывать в скрытности по сравнению с имплантатами прошивки - такими как LoJax, первый "дикий" имплантат прошивки UEFI, обнаруженный командой ESET в 2018 году - поскольку буткиты располагаются на легкодоступном разделе диска FAT32. Однако запуск в качестве загрузчика дает им почти те же возможности, что и имплантаты прошивки, но без необходимости преодолевать многоуровневую защиту SPI-флэш, такую как биты защиты BWE, BLE и PRx, или защиту, обеспечиваемую аппаратным обеспечением (например, Intel Boot Guard). Конечно, UEFI Secure Boot стоит на пути буткитов UEFI, но существует немалое количество известных уязвимостей, позволяющих обойти этот важный механизм безопасности. И хуже всего то, что некоторые из них все еще легко эксплуатируются на современных системах даже на момент написания этой статьи - включая ту, которую использовал BlackLotus.
Расследование ESET началось с того, что в конце 2022 года в телеметрии было обнаружено несколько совпадений с компонентом пользовательского режима BlackLotus - HTTP-загрузчиком. После первоначальной оценки шаблоны кода, найденные в образцах, привели ESET к обнаружению шести установщиков BlackLotus. Это позволило нам изучить всю цепочку выполнения и понять, что мы имеем дело не с обычным вредоносным ПО.
Ниже приведены основные сведения о BlackLotus и хронология событий, связанных с ним:
- Он способен работать на последних, полностью исправленных системах Windows 11 с включенной функцией безопасной загрузки UEFI.
- Он использует уязвимость более чем годичной давности (CVE-2022-21894), чтобы обойти UEFI Secure Boot и установить постоянство для буткита. Это первое публично известное использование данной уязвимости в реальных условиях.
- Хотя уязвимость была устранена в обновлении Microsoft от января 2022 года, ее эксплуатация все еще возможна, поскольку затронутые ею двоичные файлы с действительной подписью до сих пор не добавлены в список отзыва UEFI. BlackLotus пользуется этим, принося в систему свои копии легитимных, но уязвимых двоичных файлов, чтобы использовать уязвимость.
- Он способен отключать такие механизмы безопасности ОС, как BitLocker, HVCI и Windows Defender.
- После установки основной задачей буткита является развертывание драйвера ядра (который, помимо прочего, защищает буткит от удаления), а также HTTP-загрузчика, отвечающего за связь с C&C и способного загружать дополнительные полезные нагрузки в пользовательском или ядерном режимах.
- BlackLotus рекламируется и продается на подпольных форумах по крайней мере с 6 октября 2022 года. В этом блоге мы приводим доказательства того, что буткит реален, а реклама не просто мошенничество.
- Интересно, что некоторые из проанализированных программ установки BlackLotus не продолжают установку буткита, если скомпрометированный хост использует одну из следующих локализаций:
- Румынский (Молдова), ro-MD
- русский (Молдова), ru-MD
- Русский (Россия), ru-RU
- Украинский (Украина), uk-UA
- Белорусский (Беларусь), be-BY
- Армянский (Армения), hy-AM
- Казахский (Казахстан), kk-KZ
Indicators of Compromise
IPv4
- 104.21.22.185
- 164.90.172.211
- 185.145.245.123
- 185.150.24.114
- 190.147.189.122
Domains
- egscorp.net
- erdjknfweklsgwfmewfgref.com
- frassirishiproc.com
- harrysucksdick.com
- heikickgn.com
- myrepository.name
- myrepositoryx.com
- xrepositoryx.name
URLs
- https://egscorp.net/API/hpb_gate.php
- https://erdjknfweklsgwfmewfgref.com/API/hpb_gate.php
- https://frassirishiproc.com/API/hpb_gate.php
- https://harrysucksdick.com/API/hpb_gate.php
- https://heikickgn.com/API/hpb_gate.php
- https://myrepositoryx.com/network/API/hpb_gate.php
- https://xrepositoryx.name/network/API/hpb_gate.php
SHA1
- 05846d5b1d37ee2d716140de4f4f984cf1e631d1
- 06af3016accdb3dfe1c23657bf1bf91c13baa757
- 0c0e78bf97116e781dde0e00a1cd0c29e68d623d
- 0e6dd7110c38464ecaa55ee4e2fa303ada0edefb
- 111c4998f3264617a7a9d9bf662d4b1577445b20
- 164bb587109cfb20824303ad1609a65abb36c3e9
- 16b12cea54360aa42e1120e82c1e9bc0371cb635
- 17fa047c1f979b180644906fe9265f21af5b0509
- 1f3799fed3cf43254fe30dcdfdb8dc02d82e662b
- 2ce056ae323b0380b0e87225ea0ae087a33cd316
- 45701a83dec1dc71a48268c9d6d205f31d9e7ffb
- 4b882748faf2c6c360884c6812dd5bcbce75ebff
- 547faa2d64b85bf883955b723b07635c0a09326b
- 5a0074203abd5deb464ba0a79e14b7541a033216
- 5dc9cbd75abd830e83641a0265bffddd2f602815
- 6d8cee28da8bcf25a4d232feb0810452acada11d
- 71559c3e2f3950d4ee016f24ca54da17d28b9d82
- 74ff58fce8f19083d16df0109dc91d78c94342fa
- 91f832f46e4c38ecc9335460d46f6f71352cffed
- 97aec21042df47d39ac212761729c6be484d064d
- 994dc79255aeb662a672a1814280de73d405617a
- a5a530a91100ed5f07a5d74698b15c646dd44e16
- acc74217cbe3f2e727a826b34bde482dcae15be6
- adceec18ff009bed635d168e0b116e72096f18d2
- d1bbaa3d408e944c70b3815471eed7fa9aee6425
- d6bb89d8734b3e49725362dae9a868ae681e8bd6
- d6d3f3151b188a9da62deb95ea1d1abeff257914
- d82539bfc2cc7cb504be74ac74df696b13db486a
- dae7e7c4eec2ac0dc7963c44a5a4f47d930c5508
- dbc064f757c69ec43517eff496146b43cba949d1
- fff4f28287677caabc60c8ab36786c370226588d