吳明宜首隻可繞過突破Windows 11 UEFI安全開機防護的惡意威脅BlackLotus現身
研究人員發現名為BlackLotus的UEFI開機程式(bootkit)可突破Windows安全開機,感染完整安裝修補程式的Windows 11電腦。
安全廠商ESET研究人員發現有人在暗網上以5000美元兜售BlackLotus。研究人員Martin Smolar指出,BlackLotus去年就已開始流傳,它原本只能躲避防毒軟體偵測,今年就進展到能在啟動UEFI安全開機的Windows 11電腦上執行。
Smolar說明,駭客利用去年揭露的Windows漏洞CVE-2022-21894,這個漏洞即是「安全開機安全功能繞過漏洞」,影響合法二進位程式包括Windows Hypervisor Loader、 Windows Boot Manager、及 PE binaries。雖然微軟去年1月即已修補漏洞,但若合法簽章的二進位程式未加入UEFI撤銷簽章清單,則BlackLotus還是可以利用這些程式及開機配置資料(Boot Configuration Data)感染Windows。
BlackLotus也成為了第一個能繞過Windows 11開機防護(Secure Boot)的UEFI惡意程式。不僅如此,BlackLotus還能關閉Windows PC的進階安全防護,像是資料加密技術BitLocker、Defender防毒及Hypervisor-protected Code Integrity (HVCI),後者是保護Windows 核心的技術,又稱Memory Integrity。
Smolar指出,BlackLotus相當強大。一旦感染Windows,BlackLotus即可部署核心驅動程式,註冊攻擊者的機器所有人金鑰(Machine Owner Key, MOK),藉此免除被重開機移除,達到長期滲透的目的。之後它下載下來的HTTP下載器程式,就從Windows電腦連繫外部C&C (command & control)伺服器,以接收進一步指令或其他使用者模式或核心模式的惡意程式。
BlackLotus 原始開發者不得而知,但有趣的是,BlackLotus不會攻擊位於東歐國家包括摩爾多瓦、俄羅斯、烏克蘭、白俄羅斯、亞美尼亞或哈薩克的Windows 11系統。