Bootkit BlackLotus útočí na rozhranie UEFI, postihuje aj aktualizované operačné systémy ešte pred ich spustením

BlackLotus nahladovy obrazok

Výskumníci spoločnosti ESET zverejnili ako vôbec prví na svete analýzu prvého UEFI bootkitu zaznamenaného v reálnych podmienkach. Zistili, že ide o malvér BlackLotus, ktorý je dostupný na hackerských fórach a ktorý dokáže obísť bezpečnostné mechanizmy platformy Windows. Zariadenia postihuje ešte pred štartom operačného systému.

BlackLotus je dostupný na hackerských fórach za 5 000 $

Telemetria spoločnosti ESET zaznamenala koncom roka 2022 podozrivý HTTP downloader. Po hlbšej analýze výskumníci zistili, že ide s vysokou mierou istoty o súčasť bootkitu BlackLotus. Vzorky nájdeného kódu ich doviedli k odhaleniu ďaľších šiestich inštalačných súborov BlackLotus.

„To nám umožnilo preskúmať celý reťazec krokov vedúcich k jeho spusteniu a uvedomili sme si, že nemáme dočinenia s obyčajným malvérom,“ uvádza Martin Smolár, výskumník spoločnosti ESET, ktorý viedol analýzu bootkitu.  

UEFI bootkit BlackLotus sa predáva na hackerských fórach minimálne od októbra 2022 za 5 000 dolárov. V temných zákutiach internetu je tento malvér aj propagovaný. ESET dokázal, že reklamy na tento bootkit nie sú iba podvod, ale odkazujú na skutočnú a nebezpečnú hrozbu.

„Na základe malého počtu vzoriek bootkitu BlackLotus, ktoré sme získali či už z našej telemetrie alebo z verejných zdrojov, sa nazdávame, že ho ešte nezačalo využívať veľa útočníkov. Obávame sa však, že sa to môže rýchlo zmeniť, akonáhle sa bootkit dostane do rúk zločineckých skupín. Bootkit sa totiž ľahko inštaluje a takéto skupiny dokážu šíriť malvér pomocou svojich botnetov,“ vysvetľuje Martin Smolár.

Čo to je UEFI?

Počítačový kód, ktorý sa spúšťa hneď po zapnutí počítača a má najvyššiu moc nad jeho operačným systémom (a tým pádom nad celým zariadením), sa volá firmvér. UEFI predstavuje súbor pravidiel pre správanie firmvéru a ide o náhradu staršieho BIOS-u. UEFI slúži ako rozhranie medzi firmvérom a operačným systémom a je aktívne ešte pred jeho spustením.

Bootkit je nebezpečný aj napriek záplatám

Bootkit BlackLotus dokáže obísť aj mechanizmus UEFI Secure Boot, ktorý kontroluje bezpečnosť kódu spúšťaného firmvérom v skorom štádiu bootovania (spúšťania operačného systému). Dokáže tak zotrvať v zariadení a operovať v ňom ešte pred spustením operačného systému. Zneužíva na to viac ako rok starú zraniteľnosť (CVE-2022-21894), pričom ide o prvé verejne zaznamenanie tejto zraniteľnosti v reálnom prostredí.

Aj napriek tomu, že táto zraniteľnosť bola zaplátaná v rámci Microsoft aktualizácie ešte v januári 2022, jej zneužitie je aj naďalej možné a to aj na plne aktualizovaných operačných systémoch Windows 11. Súvisiace moduly sú totiž stále počítačom považované za dôveryhodné. Ich podpisy zatiaľ neboli pridané do zoznamu zneplatnených podpisov, známeho ako UEFI revocation list. BlackLotus tak operačnému systému dodá legitímne, no zraniteľné komponenty, ktoré následne sám zneužije.

BlackLotus dokáže vypnúť bezpečnostné mechanizmy

Vďaka umiestneniu v UEFI dokáže bootkit vypnúť bezpečnostné mechanizmy operačného systému ako BitLocker, HVCI a Windows Defender a získať plnú kontrolu nad štartom operačného systému. Táto schopnosť umožňuje UEFI bootkitom operovať veľmi nenápadne a zároveň s veľkými právomocami.

Akonáhle je BlackLotus nainštalovaný, jeho hlavným cieľom je nasadiť ovládač do jadra operačného systému (ktorý okrem iného chráni bootkit pred odstránením) a HTTP downloader zodpovedný za komunikáciu s riadiacim serverom, ktorý dokáže spustiť ďalší škodlivý obsah.

Zaujímavosťou je, že niektoré inštalačné súbory BlackLotus, ktoré analyzoval ESET, nepokračujú v inštalácii, ak skompromitované zariadenie používa jazykové nastavenia typické pre Arménsko, Bielorusko, Kazachstan, Moldavsko, Rusko alebo Ukrajinu.

Ako chrániť UEFI?

Produkty spoločnosti ESET majú bezpečnostnú vrstvu určenú na detekciu škodlivých doplnkov vo firmvéri počítača, ktorá sa volá Kontrola UEFI. Tento nástroj sprístupňuje firmvér k skenovaniu. Následne je kód firmvéru preskenovaný antimalvérovými detekčnými technológiami. ESET zákazníci si môžu firmvér skenovať pravidelne, alebo jednorazovo.

Väčšina detekcií je označená ako Potenciálne nebezpečná aplikácia – teda kód, ktorý má širokú moc nad systémom a môže byť preto zneužitý. Ten istý kód môže byť úplne legitímny ak používateľ alebo administrátor vedia o jeho prítomnosti. Môže byť však aj škodlivý, ak bol nainštalovaný bez ich vedomia alebo súhlasu.

Viac technických informácií o bootkite BlackLotus nájdete v anglickom jazyku na stránke WeLiveSecurity.