吳明宜研究人員發現名為 BlackLotus 的 UEFI 開機程式 (bootkit) 可突破 Windows 安全開機,感染完整安裝修補程式的 Windows 11 電腦。
安全廠商 ESET 研究人員發現有人在暗網上以 5000 美元兜售 BlackLotus 。研究人員 Martin Smolar 指出,BlackLotus 去年就已開始流傳,它原本只能躲避防毒軟體偵測,今年就進展到能在啟動 UEFI 安全開機的 Windows 11 電腦上執行。
Smolar 說明,駭客利用去年揭露的 Windows 漏洞 CVE-2022-21894,這個漏洞即是「安全開機安全功能繞過漏洞」,影響合法二進位程式包括 Windows Hypervisor Loader 、 Windows Boot Manager 、及 PE binaries 。雖然微軟去年 1 月即已修補漏洞,但若合法簽章的二進位程式未加入 UEFI 撤銷簽章清單,則 BlackLotus 還是可以利用這些程式及開機配置資料 (Boot Configuration Data) 感染 Windows 。
BlackLotus 也成為了第一個能繞過 Windows 11 開機防護 (Secure Boot) 的 UEFI 惡意程式。不僅如此,BlackLotus 還能關閉 Windows PC 的進階安全防護,像是資料加密技術 BitLocker 、 Defender 防毒及 Hypervisor-protected Code Integrity (HVCI),後者是保護 Windows 核心的技術,又稱 Memory Integrity 。
Smolar 指出,BlackLotus 相當強大。一旦感染 Windows,BlackLotus 即可部署核心驅動程式,註冊攻擊者的機器所有人金鑰 (Machine Owner Key, MOK),藉此免除被重開機移除,達到長期滲透的目的。之後它下載下來的 HTTP 下載器程式,就從 Windows 電腦連繫外部 C&C (command & control) 伺服器,以接收進一步指令或其他使用者模式或核心模式的惡意程式。
BlackLotus 原始開發者不得而知,但有趣的是,BlackLotus 不會攻擊位於東歐國家包括摩爾多瓦、俄羅斯、烏克蘭、白俄羅斯、亞美尼亞或哈薩克的 Windows 11 系統。