BlackLotus Becomes First UEFI Bootkit Malware to Bypass Secure Boot on Windows 11
BlackLotus กลายเป็นมัลแวร์ UEFI Bootkit ตัวแรกที่หลบเลี่ยงการป้องกันของ Secure Boot บน Windows 11 BlackLotus ถูกปรับใช้ในเฟิร์มแวร์ของระบบและอนุญาตให้ควบคุมกระบวนการบูทระบบปฏิบัติการได้อย่างสมบูรณ์ ดังนั้นจึงทำให้สามารถปิดใช้งานระบบรักษาความปลอดภัยและปรับใช้เพย์โหลดตามต้องการระหว่างการเริ่มต้นระบบด้วยสิทธิพิเศษระดับสูง
รายละเอียดเกี่ยวกับ BlackLotus ถูกเปิดเผยครั้งแรกในเดือนตุลาคม 2022 โดยนักวิจัยด้านความปลอดภัยของ Kaspersky Sergey Lozhkin อธิบายว่า BlackLotus เป็นโซลูชันซอฟต์แวร์ที่ซับซ้อน BlackLotus ใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยที่ติดตามเป็น CVE-2022-21894 หรือที่เรียกว่า Baton Drop เพื่อหลีกเลี่ยงการป้องกัน Secure Boot และตั้งค่าการคงอยู่ ช่องโหว่นี้ได้รับการแก้ไขโดย Microsoft โดยเป็นส่วนหนึ่งของการอัปเดต Patch Tuesday ในเดือนมกราคม 2022
นอกจากนี้ BlackLotus ยังสามารถปิดการรักษาความปลอดภัย เช่น BitLocker, Hypervisor-protected Code Integrity (HVCI) และ Windows Defender และยังได้รับการออกแบบให้ทิ้ง kernel driver และตัวดาวน์โหลด HTTP ที่สื่อสารกับเซิร์ฟเวอร์เพื่อทำ command-and-control (C2) ปัจจุบันยังไม่ทราบวิธีการดำเนินการที่แน่นอนที่ใช้ในการปรับใช้ bootkit แต่คาดว่าการโจมตีจะเริ่มจากตัวติดตั้งที่ใช้ในการเขียนไฟล์ไปยัง EFI system partition เพื่อปิดใช้งาน HVCI และ BitLocker จากนั้นจะทำการรีบูตเครื่องเพื่อเริ่มการโจมตีในขั้นต่อไป
https://thehackernews.com/2023/03/blacklotus-becomes-first-uefi-bootkit.html