UEFI-буткит BlackLotus обходит защиту даже в Windows 11 - «Новости» » Интернет технологии
sitename
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » UEFI-буткит BlackLotus обходит защиту даже в Windows 11 - «Новости»

Эксперты компании ESET сообщили, что UEFI-буткит BlackLotus, который продается на хакерских форумах примерно за 5000 долларов, действительно способен обойти защиту Secure Boot. По данным исследователей, вредонос представляет угрозу даже для полностью обновленных машин под управлением Windows 11 с включенной функцией UEFI Secure Boot.


Впервые BlackLotus был замечен в октябре 2022 года. Его продавец утверждал, что буткит имеет встроенный обход Secure Boot, встроенную защиту от удаления на уровне Ring0/Ядра, а также запускается в режиме восстановления и в безопасном режиме.


Кроме того, продавец утверждал, что малварь оснащена антивиртуализацей, антиотладкой и обфускацией, что усложняет ее обнаружение и анализ. Также, согласно его заявлениям, защитное ПО не может обнаружить и уничтожить буткит, так как тот запускается под учетной записью SYSTEM внутри легитимного процесса.


Помимо этого Black Lotus якобы способен отключать защитные механизмы на целевых машинах, включая Hypervisor-Protected Code Integrity (HVCI) и Windows Defender, а также обходить User Account Control (UAC).


Обнаружившие его специалисты писали, что Black Lotus имеет размер 80 килобайт, написан на ассемблере и C, и умеет определять геозону жертвы, чтобы избегать заражения машин в странах СНГ. Вредонос предлагается к продаже за 5000 долларов США,  а каждая новая версия будет стоить еще 200 долларов США.


Напомню, что тогда эксперты допускали, что все вышеописанные возможности Black Lotus – это не более чем рекламный трюк, и на деле буткит далеко не так опасен. К сожалению, эти предположения не подтвердились.


Как теперь сообщают ИБ-эксперты ESET, изучавшие вредоноса с осени прошлого года, слухи о том, что буткит легко обходит Secure Boot, «теперь стали реальностью». По их информации, для обхода Secure Boot и закрепления в системе вредонос использует уязвимость CVE-2022-21894 годичной давности.



Хронология от уязвимости до буткита

Microsoft устранила эту проблему еще в январе 2022 года, но злоумышленники все еще могут использовать ее, так как затронутые подписанные бинарники не были добавлены в отзывной список UEFI. По словам аналитиков, это первый задокументированный случай злоупотребления этой уязвимостью.


«Black Lotus пользуется этим, добавляя в систему собственные копии легитимных, но уязвимых двоичных файлов, чтобы эксплуатировать уязвимость», — объясняют в ESET, имея в виду атаки типа BYOVD — bring your own vulnerable driver («принеси свой уязвимый драйвер»).


Хуже того, PoC-эксплойт для этой уязвимости доступен с августа 2022 года, поэтому в скором времени и другие киберпреступники могут взять проблему на вооружение.


Точный способ развертывания буткита пока неясен, но атака начинается с компонента установщика, который отвечает за запись файлов в системный раздел EFI, отключения HVCI и BitLocker и последующей перезагрузки хоста.


Исследователи рассказывают, что после эксплуатации CVE-2022-21894 Black Lotus отключает защитные механизмы, развертывает драйвер ядра и HTTP-загрузчик. Драйвер ядра, среди прочего, защищает файлы буткита от удаления, тогда как загрузчик взаимодействует с управляющим сервером и выполняет полезную нагрузку.



UEFI-буткит BlackLotus обходит защиту даже в Windows 11 - «Новости»


Хотя исследователи не связывают вредоноса с какой-либо конкретной хак-группой или правительством, они отмечают, что проанализированные ими установщики Black Lotus не будут работать, если зараженный компьютер находится в Армении, Беларуси, Казахстане, Молдове, Румынии, России и Украине.


Эксперты компании ESET сообщили, что UEFI-буткит BlackLotus, который продается на хакерских форумах примерно за 5000 долларов, действительно способен обойти защиту Secure Boot. По данным исследователей, вредонос представляет угрозу даже для полностью обновленных машин под управлением Windows 11 с включенной функцией UEFI Secure Boot. Впервые BlackLotus был замечен в октябре 2022 года. Его продавец утверждал, что буткит имеет встроенный обход Secure Boot, встроенную защиту от удаления на уровне Ring0/Ядра, а также запускается в режиме восстановления и в безопасном режиме. Кроме того, продавец утверждал, что малварь оснащена антивиртуализацей, антиотладкой и обфускацией, что усложняет ее обнаружение и анализ. Также, согласно его заявлениям, защитное ПО не может обнаружить и уничтожить буткит, так как тот запускается под учетной записью SYSTEM внутри легитимного процесса. Помимо этого Black Lotus якобы способен отключать защитные механизмы на целевых машинах, включая Hypervisor-Protected Code Integrity (HVCI) и Windows Defender, а также обходить User Account Control (UAC). Обнаружившие его специалисты писали, что Black Lotus имеет размер 80 килобайт, написан на ассемблере и C, и умеет определять геозону жертвы, чтобы избегать заражения машин в странах СНГ. Вредонос предлагается к продаже за 5000 долларов США, а каждая новая версия будет стоить еще 200 долларов США. Напомню, что тогда эксперты допускали, что все вышеописанные возможности Black Lotus – это не более чем рекламный трюк, и на деле буткит далеко не так опасен. К сожалению, эти предположения не подтвердились. Как теперь сообщают ИБ-эксперты ESET, изучавшие вредоноса с осени прошлого года, слухи о том, что буткит легко обходит Secure Boot, «теперь стали реальностью». По их информации, для обхода Secure Boot и закрепления в системе вредонос использует уязвимость CVE-2022-21894 годичной давности. Хронология от уязвимости до буткита Microsoft устранила эту проблему еще в январе 2022 года, но злоумышленники все еще могут использовать ее, так как затронутые подписанные бинарники не были добавлены в отзывной список UEFI. По словам аналитиков, это первый задокументированный случай злоупотребления этой уязвимостью. «Black Lotus пользуется этим, добавляя в систему собственные копии легитимных, но уязвимых двоичных файлов, чтобы эксплуатировать уязвимость», — объясняют в ESET, имея в виду атаки типа BYOVD — bring your own vulnerable driver («принеси свой уязвимый драйвер»). Хуже того, PoC-эксплойт для этой уязвимости доступен с августа 2022 года, поэтому в скором времени и другие киберпреступники могут взять проблему на вооружение. Точный способ развертывания буткита пока неясен, но атака начинается с компонента установщика, который отвечает за запись файлов в системный раздел EFI, отключения HVCI и BitLocker и последующей перезагрузки хоста. Исследователи рассказывают, что после эксплуатации CVE-2022-21894 Black Lotus отключает защитные механизмы, развертывает драйвер ядра и HTTP-загрузчик. Драйвер ядра, среди прочего, защищает файлы буткита от удаления, тогда как загрузчик взаимодействует с управляющим сервером и выполняет полезную нагрузку. Хотя исследователи не связывают вредоноса с какой-либо конкретной хак-группой или правительством, они отмечают, что проанализированные ими установщики Black Lotus не будут работать, если зараженный компьютер находится в Армении, Беларуси, Казахстане, Молдове, Румынии, России и Украине.
CSS
запостил(а)
Vaughan
Вернуться назад

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: