首个能绕过 Windows 11 安全启动的恶意软件问世

近日，斯洛伐克网络安全公司ESET报告称发现首个能够绕过最新Windows 11安全启动保护UEFI（统一可扩展固件接口）的bootkit恶意软件——BlackLotus（黑莲花），已在地下网络黑市中销售，构成重大网络安全威胁。

BlackLotus利用了一个编号为CVE-2022-21894（又名Baton Drop）的漏洞来绕过Windows的UEFI安全启动保护并长期驻留在系统固件中，可以完全控制操作系统启动过程，而且可以禁用操作系统级别的安全机制并在启动期间以高权限部署任意负载。（通俗来说，就是可以把受害者的电脑变成“肉鸡”）

报告称，开发者以5000美元（以及每个新的后续版本200美元）的价格出售BlackLotus，其工具包使用Assembly和C开发，文件大小仅有80KB。

BlackLotus还有地理围栏功能，可以避免感染亚美尼亚、白俄罗斯、哈萨克斯坦、摩尔多瓦、罗马尼亚、俄罗斯和乌克兰的计算机。

有关BlackLotus的信息最早于2022年10月首次公开，当时卡巴斯基安全研究员Sergey Lozhkin将其描述为一种复杂的犯罪软件工具。

Eclypsium的Scott Scheferman表示：“BlackLotus工具包的公开售卖是一次飞越，在易用性、可扩展性、可访问性方面都有重大突破，更重要的是，其持久性、逃避和/或破坏的能力构成重大潜在威胁。”

根据ESET的说法，该漏洞的成功利用允许在早期启动阶段执行任意代码，从而允许威胁行为者在启用UEFI安全启动的系统上执行恶意操作，而无需物理访问它。

虽然微软在2022年1月的补丁星期二更新中修复了Baton Drop漏洞，但ESET研究人员Martin Smolár表示：“对该漏洞的利用仍然是可能的，因为受影响的、有效签名的二进制文件仍未添加到UEFI撤销列表中。”BlackLotus利用了这一点，将其自己的合法但存在漏洞的二进制文件拷贝带到系统中以利用该漏洞，也就是所谓的自带易受攻击驱动程序(BYOVD)攻击。

除了可以关闭BitLocker、Hypervisor保护的代码完整性(HVCI)和Windows Defender等安全机制外，BlackLotus还可删除内核驱动程序和与命令和控制(C2)服务器通信的HTTP下载程序，以检索其他用户模式或内核模式恶意软件。

用于部署BlackLotus的确切操作方式目前尚不清楚，报告称它从安装一个程序组件开始，该组件负责将文件写入EFI系统分区，禁用HVCI和BitLocker，然后重新启动主机。

重启之后将武器化CVE-2022-21894漏洞以实现持久化并安装bootkit，之后在每次系统启动时自动执行以部署内核驱动程序。

该驱动程序的任务是启动用户模式HTTP下载工具并运行下一阶段的内核模式负载，后者能够执行通过HTTPS从C2服务器接收的命令。包括下载和执行内核驱动程序、DLL或常规可执行文件；获取bootkit更新，甚至从受感染的系统中卸载bootkit。

“UEFI的沦陷并非偶然。在过去几年中，业界发现了许多影响UEFI系统安全的高危漏洞，”Smolár说：“不幸的是，由于整个UEFI生态系统和供应链问题的复杂性，即使在漏洞被修复很长时间之后，或者至少在我们被告知它们已被修复之后，大量系统仍然存在漏洞并容易遭受攻击。”