ESET araştırmacıları, kritik bir platform güvenlik özelliği olan UEFI Secure Boot’u atlatabilen bir UEFI bootkit’in ilk analizini yayınladı. Bootkit’in işlevselliği ve özellikleri, araştırmacıları bunun BlackLotus olarak bilinen bir tehdit olduğuna inandırıyor.
BlackLotus soruşturması
Bu UEFI önyükleme seti, en az Ekim 2022’den bu yana bilgisayar korsanlığı forumlarında 5.000 ABD Dolarına satıldı. BT, UEFI Güvenli Önyüklemenin etkinleştirildiği tamamen güncel Windows 11 sistemlerinde bile çalışabilir.
“Araştırmamız, 2022’nin sonlarında telemetrimizde BlackLotus kullanıcı modu bileşeninin – bir HTTP indiricisi – olduğu ortaya çıkan (yüksek düzeyde güvenle) birkaç isabetle başladı. İlk değerlendirmeden sonra, kod kalıpları bulundu. örnekler bizi altı BlackLotus yükleyicisinin keşfine götürdü. Bu, tüm yürütme zincirini keşfetmemizi ve burada uğraştığımız şeyin sıradan bir kötü amaçlı yazılım olmadığını fark etmemizi sağladı,” diyor bootkit araştırmasına liderlik eden ESET araştırmacısı Martin Smolár.
Bu UEFI önyükleme seti ne yapabilir?
Önyükleme seti, UEFI Güvenli Önyüklemeyi atlamak ve önyükleme seti için kalıcılığı ayarlamak için bir yılı aşkın bir süredir açık olan bir güvenlik açığından (CVE-2022-21894) yararlanır. Bu, bu güvenlik açığının genel olarak bilinen ilk vahşi kötüye kullanımıdır. Güvenlik açığı Microsoft’un Ocak 2022 güncellemesinde giderilmiş olsa da, etkilenen, geçerli olarak imzalanmış ikili dosyalar hala UEFI iptal listesine eklenmediğinden, güvenlik açığından yararlanılması hala mümkündür. BlackLotus, güvenlik açığından yararlanmak için meşru – ancak savunmasız – ikili dosyaların kendi kopyalarını sisteme getirerek bundan yararlanır.
BlackLotus, BitLocker, HVCI ve Windows Defender gibi işletim sistemi güvenlik mekanizmalarını devre dışı bırakabilir. Kurulduktan sonra, bootkit’in asıl amacı, bir çekirdek sürücüsü (diğer şeylerin yanı sıra, bootkit’i kaldırılmaya karşı korur) ve Komuta ve Kontrol sunucusuyla iletişimden sorumlu olan ve ek kullanıcı modu veya çekirdek yükleme yeteneğine sahip bir HTTP indirici dağıtmaktır. mod yükleri. İlginç bir şekilde, ESET’in analiz ettiği bazı BlackLotus yükleyicileri, güvenliği ihlal edilen ana bilgisayar Ermenistan, Beyaz Rusya, Kazakistan, Moldova, Rusya veya Ukrayna’dan yerel ayarlar kullanıyorsa, önyükleme seti kurulumuna devam etmez.
Henüz pek çok tehdit aktörü bunu kullanmıyor
BlackLotus, en azından Ekim 2022’nin başından beri yer altı forumlarında ilan ediliyor ve satılıyor. Smolár, “Artık bootkit’in gerçek olduğuna ve reklamın sadece bir aldatmaca olmadığına dair kanıt sunabiliyoruz” diyor. “Hem kamu kaynaklarından hem de telemetrimizden alabildiğimiz BlackLotus örneklerinin sayısının az olması, henüz pek çok tehdit aktörünün bunu kullanmaya başlamadığına inanmamıza neden oluyor. Bootkit’in kolay devreye alınması ve suç yazılımı gruplarının botnet’lerini kullanarak kötü amaçlı yazılım yayma yeteneklerine bağlı olarak, bu bootkit’in suç yazılımı gruplarının eline geçmesi durumunda işlerin hızla değişeceğinden endişe duyuyoruz.”
UEFI bootkit’leri önemli bir tehdit oluşturuyor
Son birkaç yılda UEFI sistemlerinin güvenliğini etkileyen birçok kritik güvenlik açığı keşfedildi. Ne yazık ki, tüm UEFI ekosisteminin karmaşıklığı ve ilgili tedarik zinciri sorunları nedeniyle, bu güvenlik açıklarının çoğu, güvenlik açıkları düzeltildikten uzun bir süre sonra veya en azından düzeltildiklerinin bize söylenmesinden bu yana sistemleri savunmasız bıraktı.
UEFI önyükleme takımları, işletim sistemi önyükleme işlemi üzerinde tam denetime sahip olan ve bu nedenle çeşitli işletim sistemi güvenlik mekanizmalarını devre dışı bırakabilen ve erken önyükleme aşamalarında kendi çekirdek modu veya kullanıcı modu yüklerini konuşlandırabilen çok güçlü tehditlerdir. Bu, çok gizli ve yüksek ayrıcalıklarla çalışmalarını sağlar. Şimdiye kadar, vahşi doğada yalnızca birkaçı keşfedildi ve halka açıklandı.
UEFI bootkit’leri, 2018’de ESET Research tarafından keşfedilen ilk vahşi UEFI üretici yazılımı implantı olan LoJax gibi ürün yazılımı implantlarıyla karşılaştırıldığında, bootkit’ler kolayca erişilebilen bir FAT32 disk bölümünde yer aldığından gizlilik konusunda kaybedebilir. Bununla birlikte, bir önyükleyici olarak çalışmak, ürün yazılımı implantlarına karşı koruma sağlayan çok sayıda güvenlik özelliği katmanının üstesinden gelmek zorunda kalmadan, onlara neredeyse aynı yetenekleri sağlar.
Smolár, “Elbette en iyi tavsiye, bir tehdidin daha en başında, işletim sistemi öncesi kalıcılığa ulaşmadan önce durdurulma şansını artırmak için sisteminizi ve güvenlik ürününü güncel tutmaktır.”
BlackLotus UEFI bootkit: Azaltmalar ve iyileştirme
ESET araştırmacıları şu tavsiyelerde bulunuyor:
- Hem sisteminizin hem de güvenlik yazılımının düzenli olarak güncellendiğinden emin olmanız önemlidir. Bu, bir tehdidi işletim sistemi öncesi kalıcılık oluşturmadan önce erken aşamalarında engelleme olasılığını artırır.
- Bilinen savunmasız UEFI ikili dosyalarının UEFI Güvenli Önyüklemeyi atlamak üzere istismar edilmesini önlemek için, bunların UEFI iptal veritabanında (dbx) iptal edilmesi gerekir. Windows sistemlerinde, dbx güncellemeleri Windows Güncellemeleri aracılığıyla dağıtılmalıdır.
- Yaygın olarak kullanılan Windows UEFI ikili dosyalarının iptal edilmesiyle ilgili sorun, binlerce eski sistemi, kurtarma görüntüsünü veya yedeği önyükleme yapamayacak duruma getirebilmesidir. Sonuç olarak, iptal genellikle zaman alıcı bir süreç olabilir.
- BlackLotus tarafından kullanılan Windows uygulamalarının iptal edilmesinin önyükleme setinin yüklenmesini engelleyeceğini, ancak yükleyici kurbanın önyükleyicisini iptal edilmiş olanla değiştireceğinden, sistemi önyüklenebilir hale getirebileceğini unutmayın. Böyle bir senaryoda, işletim sistemini yeniden yükleyerek veya ESP’yi kurtararak sorun çözülebilir.
- İptal, BlackLotus kalıcılığı ayarlandıktan sonra gerçekleşirse, kalıcılık için özel MOK anahtarına sahip meşru bir şim kullandığı için önyükleme seti işlevsel kalır. Bu durumda, en güvenli hafifletme çözümü Windows’u yeniden yüklemek ve mokutil yardımcı programını kullanarak saldırganların kayıtlı MOK anahtarını kaldırmak olacaktır (önyükleme sırasında MOK Yöneticisi ile gerekli kullanıcı etkileşimi nedeniyle bu işlemi gerçekleştirmek için fiziksel varlık gereklidir).