BlackLotus به اولین بد افزار UEFI Bootkitتبدیل شد که میتواند بوت امنیتی ویندوز ۱۱ را دور بزند.
یک بوت کیت مخفی Unified Extensible Firmware Interface (UEFI) به نام BlackLotus به عنوان اولین بدافزاری که قادر به دور زدن سیستم دفاعی Secure Boot است شناخته شده است.
بوت کیت های UEFI در سیستم سفت افزاری نصب میشوند و اجازه کنترل کامل بر روی سیستم عامل را دارند. در نتیجه امکان غیرفعال کردن مکانیسمهای امنیتی در سطح سیستم عامل و قرار دادن پیلودهای دلخواه در هنگام راهاندازی با سطح دسترسی بالا امکانپذیر است.
اBlackLotus از یک نقص امنیتی ردیابی شده به عنوان CVE-2022-21894 با نام مستعار( Baton Drop) برای دور زدن حفاظت های UEFI Secure Boot استفاده می کند. این آسیب پذیری توسط مایکروسافت برطرف شد.
علاوه بر اینکه به خاموش کردن مکانیسمهای امنیتی مانند BitLocker، Hypervisor-protected Code Integrity (HVCI),و Windows Defender مجهز است، همچنین طوری طراحی شده است تا درایور kernel را رها کرده و HTTP downloader را که با یک سرور command-and-control برای بازیابی بیشتر برنامههای مخرب مدیریت کاربری additional user-mode یا kernel-mode malware ارتباط برقرار میکند، پیاده سازی کند
سازوکار دقیق برای استقرار بوتکیت هنوز مشخص نیست، اما با یک مؤلفه نصب که مسئول نوشتن فایلها در بخش EFI سیستم، خاموش کردن HVCI و BitLocker و سپس راه اندازی مجدد میزبان میباشد، شروع میشود.
بعد از راهاندازی مجدد، از CVE-2022-21894 استفاده میشود تا پایداری را به دست آورده و بوت کیت را نصب کند، پس از آن هر بار که سیستم راهاندازی میشود، به صورت خودکار برای نصب درایور هسته، اجرا میشود
در حالی که درایور وظیفه راهاندازی بارگیری HTTP حالت کاربر و اجرای پیلودهای مرحله بعدی در حالت کرنل را دارد، دومی قادر است دستورات دریافتی از سرور را از طریق HTTPS اجرا کند.
این شامل دانلود و اجرای یک درایور کرنلی، DLL یا یک اجرایی معمولی، دریافت بهروزرسانیهای bootkit و حتی حذف bootkit از سیستم آلوده میشود.
اخبار آسیبپذیریها را از وبسایت آپا بخش آسیبپذیریها می توانید بخوانید، در ضمن صفحه اینستای ما را هم دنبال کنید.
Good post. I learn something totally new and challenging on websites I stumbleupon every day. Its always exciting to read articles from other writers and practice a little something from other sites.