UEFI-буткит BlackLotus обходит защиту даже в Windows 11 - «Новости» » Интернет технологии
sitename
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
 Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
 Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
 «Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
«Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
 Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
 Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
 В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
 Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
 Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
 Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » UEFI-буткит BlackLotus обходит защиту даже в Windows 11 - «Новости»

✔UEFI-буткит BlackLotus обходит защиту даже в Windows 11 - «Новости»

03 марта 2023 817 Новости / Преимущества стилей / Отступы и поля / Заработок / Вёрстка / Добавления стилей / Типы носителей / Видео уроки 0

Эксперты компании ESET сообщили, что UEFI-буткит BlackLotus, который продается на хакерских форумах примерно за 5000 долларов, действительно способен обойти защиту Secure Boot. По данным исследователей, вредонос представляет угрозу даже для полностью обновленных машин под управлением Windows 11 с включенной функцией UEFI Secure Boot.


Впервые BlackLotus был замечен в октябре 2022 года. Его продавец утверждал, что буткит имеет встроенный обход Secure Boot, встроенную защиту от удаления на уровне Ring0/Ядра, а также запускается в режиме восстановления и в безопасном режиме.


Кроме того, продавец утверждал, что малварь оснащена антивиртуализацей, антиотладкой и обфускацией, что усложняет ее обнаружение и анализ. Также, согласно его заявлениям, защитное ПО не может обнаружить и уничтожить буткит, так как тот запускается под учетной записью SYSTEM внутри легитимного процесса.


Помимо этого Black Lotus якобы способен отключать защитные механизмы на целевых машинах, включая Hypervisor-Protected Code Integrity (HVCI) и Windows Defender, а также обходить User Account Control (UAC).


Обнаружившие его специалисты писали, что Black Lotus имеет размер 80 килобайт, написан на ассемблере и C, и умеет определять геозону жертвы, чтобы избегать заражения машин в странах СНГ. Вредонос предлагается к продаже за 5000 долларов США,  а каждая новая версия будет стоить еще 200 долларов США.


Напомню, что тогда эксперты допускали, что все вышеописанные возможности Black Lotus – это не более чем рекламный трюк, и на деле буткит далеко не так опасен. К сожалению, эти предположения не подтвердились.


Как теперь сообщают ИБ-эксперты ESET, изучавшие вредоноса с осени прошлого года, слухи о том, что буткит легко обходит Secure Boot, «теперь стали реальностью». По их информации, для обхода Secure Boot и закрепления в системе вредонос использует уязвимость CVE-2022-21894 годичной давности.



Хронология от уязвимости до буткита

Microsoft устранила эту проблему еще в январе 2022 года, но злоумышленники все еще могут использовать ее, так как затронутые подписанные бинарники не были добавлены в отзывной список UEFI. По словам аналитиков, это первый задокументированный случай злоупотребления этой уязвимостью.


«Black Lotus пользуется этим, добавляя в систему собственные копии легитимных, но уязвимых двоичных файлов, чтобы эксплуатировать уязвимость», — объясняют в ESET, имея в виду атаки типа BYOVD — bring your own vulnerable driver («принеси свой уязвимый драйвер»).


Хуже того, PoC-эксплойт для этой уязвимости доступен с августа 2022 года, поэтому в скором времени и другие киберпреступники могут взять проблему на вооружение.


Точный способ развертывания буткита пока неясен, но атака начинается с компонента установщика, который отвечает за запись файлов в системный раздел EFI, отключения HVCI и BitLocker и последующей перезагрузки хоста.


Исследователи рассказывают, что после эксплуатации CVE-2022-21894 Black Lotus отключает защитные механизмы, развертывает драйвер ядра и HTTP-загрузчик. Драйвер ядра, среди прочего, защищает файлы буткита от удаления, тогда как загрузчик взаимодействует с управляющим сервером и выполняет полезную нагрузку.



UEFI-буткит BlackLotus обходит защиту даже в Windows 11 - «Новости»


Хотя исследователи не связывают вредоноса с какой-либо конкретной хак-группой или правительством, они отмечают, что проанализированные ими установщики Black Lotus не будут работать, если зараженный компьютер находится в Армении, Беларуси, Казахстане, Молдове, Румынии, России и Украине.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Эксперты компании ESET сообщили, что UEFI-буткит BlackLotus, который продается на хакерских форумах примерно за 5000 долларов, действительно способен обойти защиту Secure Boot. По данным исследователей, вредонос представляет угрозу даже для полностью обновленных машин под управлением Windows 11 с включенной функцией UEFI Secure Boot. Впервые BlackLotus был замечен в октябре 2022 года. Его продавец утверждал, что буткит имеет встроенный обход Secure Boot, встроенную защиту от удаления на уровне Ring0/Ядра, а также запускается в режиме восстановления и в безопасном режиме. Кроме того, продавец утверждал, что малварь оснащена антивиртуализацей, антиотладкой и обфускацией, что усложняет ее обнаружение и анализ. Также, согласно его заявлениям, защитное ПО не может обнаружить и уничтожить буткит, так как тот запускается под учетной записью SYSTEM внутри легитимного процесса. Помимо этого Black Lotus якобы способен отключать защитные механизмы на целевых машинах, включая Hypervisor-Protected Code Integrity (HVCI) и Windows Defender, а также обходить User Account Control (UAC). Обнаружившие его специалисты писали, что Black Lotus имеет размер 80 килобайт, написан на ассемблере и C, и умеет определять геозону жертвы, чтобы избегать заражения машин в странах СНГ. Вредонос предлагается к продаже за 5000 долларов США, а каждая новая версия будет стоить еще 200 долларов США. Напомню, что тогда эксперты допускали, что все вышеописанные возможности Black Lotus – это не более чем рекламный трюк, и на деле буткит далеко не так опасен. К сожалению, эти предположения не подтвердились. Как теперь сообщают ИБ-эксперты ESET, изучавшие вредоноса с осени прошлого года, слухи о том, что буткит легко обходит Secure Boot, «теперь стали реальностью». По их информации, для обхода Secure Boot и закрепления в системе вредонос использует уязвимость CVE-2022-21894 годичной давности. Хронология от уязвимости до буткита Microsoft устранила эту проблему еще в январе 2022 года, но злоумышленники все еще могут использовать ее, так как затронутые подписанные бинарники не были добавлены в отзывной список UEFI. По словам аналитиков, это первый задокументированный случай злоупотребления этой уязвимостью. «Black Lotus пользуется этим, добавляя в систему собственные копии легитимных, но уязвимых двоичных файлов, чтобы эксплуатировать уязвимость», — объясняют в ESET, имея в виду атаки типа BYOVD — bring your own vulnerable driver («принеси свой уязвимый драйвер»). Хуже того, PoC-эксплойт для этой уязвимости доступен с августа 2022 года, поэтому в скором времени и другие киберпреступники могут взять проблему на вооружение. Точный способ развертывания буткита пока неясен, но атака начинается с компонента установщика, который отвечает за запись файлов в системный раздел EFI, отключения HVCI и BitLocker и последующей перезагрузки хоста. Исследователи рассказывают, что после эксплуатации CVE-2022-21894 Black Lotus отключает защитные механизмы, развертывает драйвер ядра и HTTP-загрузчик. Драйвер ядра, среди прочего, защищает файлы буткита от удаления, тогда как загрузчик взаимодействует с управляющим сервером и выполняет полезную нагрузку. Хотя исследователи не связывают вредоноса с какой-либо конкретной хак-группой или правительством, они отмечают, что проанализированные ими установщики Black Lotus не будут работать, если зараженный компьютер находится в Армении, Беларуси, Казахстане, Молдове, Румынии, России и Украине.
CSS
запостил(а)
Vaughan
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: