BlackLotus Becomes First UEFI Bootkit Malware to Bypass Secure Boot on Windows 11
2023/03/01 TheHackerNews — BlackLotus という高ステルス性の UEFI (Unified Extensible Firmware Interface) ブートキットが、Secure Boot 防御を回避するマルウェアとして初めて公になり、サイバー環境における強力な脅威となってきた。スロバキアのサイバーセキュリティ企業 ESET は、「このブートキットは、UEFI セキュアブートを有効にした最新の Windows 11 システム上でも実行可能である」と、The Hacker News と共有したレポートで述べている。
この UEFI ブートキットは、システム・ファームウェアに展開され、OS の起動プロセスを完全に制御できるため、OS レベルのセキュリティ・メカニズムを無効化され、起動時に任意のペイロードを高権限で展開することが可能になる。
この強力かつ永続的なツールキットは、アセンブリ言語とC言語でプログラムされており、サイズは 80kb、価格は $5,000 である。また、アルメニア/ベラルーシ/カザフスタン/モルドバ/ルーマニア/ロシア/ウクライナのコンピュータへの感染を回避する、ジオフェンシング機能を備えている。
BlackLotus の詳細は 2022年10月に初めて明らかになり、Kaspersky セキュリティ研究者である Sergey Lozhkin は、洗練されたクライムウェア・ソリューションと表現していた。Eclypsium の Scott Scheferman は、「使いやすさ、拡張性、アクセス性に長けている。そして最も重要なのは、持続/回避/破壊といった形で、より大きな影響を与える可能性があるという点で飛躍している」と指摘する。
BlackLotus は、一言で言えば、脆弱性 Baton Drop (CVE-2022-21894) のを悪用して、UEFI Secure Boot 保護を回避し、永続性を設定するものである。この脆弱性は、Microsoft が January 2022 Patch Tuesday で対処しているものだ。
ESET によると、この脆弱性の悪用に成功した攻撃者は、イニシャル・ブート・フェーズで任意のコードを実行し、物理的にアクセスすることなく、UEFI Secure Boot が有効なシステム上で、悪意のアクションを実行することが可能になるという。
ESET の研究者である Martin Smolár は、「この脆弱性が公に知られ、実際に悪用された、最初の例である。影響を受ける有効な署名付きバイナリが、現時点では UEFI の失効リストに追加されていないため、依然として悪用が可能だ。それを悪用する BlackLotus は、正当な (しかし脆弱な) バイナリの独自コピーを、システム内に持ち込む。それにより、BYOVD (Bring Your Own Vulnerable Driver) 攻撃への道を開いている」と述べている。
BlackLotus が備えているのは、BitLocker/Hypervisor-protected Code Integrity (HVCI)/Windows Defender などのセキュリティ機構をオフにする機能である。その他にも、カーネル・ドライバと HTTP ダウンローダーをドロップし、Command and Control (C2) サーバと通信して、ユーザーモード/カーネルモードの追加マルウェアを取得するように設計されている。
このブートキットを展開するために使用される、正確な手口は現時点で不明だが、EFI システム・パーティションにファイルを書き込み、HVCI と BitLocker を無効にし、ホストを再起動する役割を果たす、インストーラ・コンポーネントから始まっているようだ。
再起動後は、脆弱性 CVE-2022-21894 を武器にして永続化を実現し、ブートキットをインストールする。その後に、システム起動時に自動的に実行され、カーネル・ドライバが展開される。
このドライバは、ユーザーモードの HTTP ダウンローダーを起動し、次のステージであるカーネルモードのペイロードを実行する役割を持つが、その後者には、C2 サーバから HTTPS で受信したコマンドを実行することも可能だ。
このブートキットには、カーネルドライバ/DLL/実行ファイルのダウンロードと実行、および、ブートキットの更新の取得、感染させたシステムからのブートキットのアンインストールなどが含まれている。
Smolár は、「UEFI システムのセキュリティに影響を与える重大な脆弱性は、ここ数年で数多く発見されている。残念ながら、UEFI エコシステム全体の複雑さと関連するサプライチェーンの問題により、これらの脆弱性の多くは、脆弱性が修正された後も、あるいは、修正されたと公表された後においても、長期間にわたり多くのシステムを脆弱な状況にさせる。悪意を持つ誰かが、これらの障害を利用して、UEFI セキュアブートを有効にしたシステム上で、動作可能な UEFI ブートキットを作成するのは時間の問題だった」と述べている。
2022/11/28 の「Acer Laptop の深刻な脆弱性が FIX: UEFI Secure Boot が回避される可能性」には、「Secure Boot 機能とは、TPM (Trusted Platform Module) チップと、UEFI (Unified Extensible Firmware Interface) ファームウェアを搭載したコンピュータにおいて、信頼できない OS ブートローダをブロックし、ルートキットやブートキットといった悪質なコードが、起動プロセス中にロードされないようにするものだ」と記されています。
2022/11/25:UEFI 実装における古い OpenSSL の使用
2022/10/17:BlackLotus は Windows UEFI ブートキット
2022/10/10:Intel Alder Lake の UEFI ソースコードが流出
2022/08/12:Microsoft がブロックした UEFI ブートローダー
IoT OT Security News 
You must be logged in to post a comment.