【贏在開機線】BlackLotus注入UEFI套件 搶先停用Windows 11安全防禦功能
ESET網絡安全專家發現,一款名為 BlackLotus 的惡意 UEFI 啟動套件正被濫用,由於這套件會直接嵌入到 UEFI 系統韌體,因而具有最高權限可完全控制作業系統的啟動過程,並停用系統核心級別的安全防禦機制,即使用家已將 Windows 11 完全更新也無法阻止攻擊,成為首款被公開可繞過 Secure Boot 的惡意入侵工具。
UEFI(Unified ExtensibleFirmware Interface)是一種為了取代傳統 BIOS 而設的系統,它可於作業系統啟動前,將電腦硬體初始化及進行診斷,提升開機速度。由於會早於作業系統啟動,因此黑客如成功利用該漏洞,便不會受作業系統權限所限制,同時亦無法被防毒軟件偵測。
今次被發現的 BlackLotus 最早可追遡至 2022 年 10 月出現,而 ESET 安全專家則披露出更多入侵的細節。專家指,它利用 CVE-2022-21894 安全漏洞,可通過遙距方式執行惡意編碼,繞過 UEFI 安全啟動保護,實現持久性。
而 Microsoft 在去年一月,已聲稱修補了該漏洞,但由於 BlackLotus 背後的黑客,製成了合法而又未被 Microsoft 歸入 UEFI 撤銷清單的二進制檔案,再利用電腦內本身的編碼執行惡意功能,實現 Bring Your Own Vulnerable Drive 的攻擊方式,因此仍無阻黑客利用入侵。
在 BlackLotus 成功添加到 UEFI 系統後,就會立即關閉 BitLocker、HVCI、Windows Defender 等防禦系統,再建立與 C&C 控制中心之間的網絡連結,令惡意功能可持續存活,同時可在未來隨意注入更多惡意程式。
專家指出,BlackLotus 套件以 Assembly 和 C 程式碼寫成,大小僅為 80k bytes,它具備地理位置偵測功能,如發現電腦系統位於亞美尼亞、白俄羅斯、羅馬尼亞、俄羅斯等地區就會中止攻擊行動,因此估計黑客亦來自上述地方。
現時套件正於暗網以 5000 美元發售,其易用性、可擴展性及持久性都令人頭痛,加上由於涉及 UEFI 系統的威脅都非常複雜,只能依靠系統開發公司想出解決方法。
資料來源:https://thehackernews.com/2023/03/blacklotus-becomes-first-uefi-bootkit.html?m=1
相關文章:【群情洶湧】Microsoft OneNote未受MOTW保護 可隨意附加惡意檔案