BlackLotus adlı gizli bir Birleşik Genişletilebilir Ürün Yazılımı Arabirimi (UEFI) önyükleme seti, Güvenli Önyükleme savunmalarını atlayabilen ve onu siber ortamda güçlü bir tehdit haline getiren, herkes tarafından bilinen ilk kötü amaçlı yazılım haline geldi.
Slovak siber güvenlik şirketi ESET, “Bu önyükleme seti, UEFI Güvenli Önyüklemenin etkinleştirildiği tamamen güncel Windows 11 sistemlerinde bile çalışabilir.” söz konusu The Hacker News ile paylaşılan bir raporda.
UEFI önyükleme takımları, sistem üretici yazılımında konuşlandırılır ve işletim sistemi (OS) önyükleme işlemi üzerinde tam kontrole izin verir, böylece işletim sistemi seviyesindeki güvenlik mekanizmalarını devre dışı bırakmayı ve başlatma sırasında yüksek ayrıcalıklarla rastgele yükleri dağıtmayı mümkün kılar.
5.000 ABD Doları’na (ve sonraki yeni sürüm başına 200 ABD Doları) satışa sunulan güçlü ve kalıcı araç seti, Montaj ve C’de programlanmıştır ve 80 kilobayt boyutundadır. Ayrıca Ermenistan, Beyaz Rusya, Kazakistan, Moldova, Romanya, Rusya ve Ukrayna’daki bilgisayarlara bulaşmayı önlemek için coğrafi sınırlama özelliklerine sahiptir.
BlackLotus hakkında ayrıntılar ilk ortaya çıktı Ekim 2022’de Kaspersky güvenlik araştırmacısı Sergey Lozhkin, bunu gelişmiş bir suç yazılımı çözümü olarak tanımlıyor.
Eclypsium’dan Scott Scheferman, “Bu, kullanım kolaylığı, ölçeklenebilirlik, erişilebilirlik ve en önemlisi, kalıcılık, kaçınma ve/veya yok etme biçimlerinde çok daha fazla etki potansiyeli açısından biraz ileri bir ‘sıçramayı’ temsil ediyor.” kayıt edilmiş.
Özetle BlackLotus, şu şekilde izlenen bir güvenlik açığından yararlanır: CVE-2022-21894 (diğer adıyla Baton Bırakma) UEFI Güvenli Önyükleme korumalarını aşmak ve kalıcılığı ayarlamak için. Güvenlik açığı, Microsoft tarafından Ocak 2022 Salı Yaması güncellemesinin bir parçası olarak giderildi.
ESET’e göre güvenlik açığından başarılı bir şekilde yararlanılması, erken önyükleme aşamalarında rastgele kod yürütülmesine izin vererek, bir tehdit aktörünün fiziksel erişimi olmadan UEFI Güvenli Önyüklemenin etkin olduğu bir sistemde kötü amaçlı eylemler gerçekleştirmesine izin verir.
ESET araştırmacısı Martin Smolár, “Bu, bu güvenlik açığının genel olarak bilinen ilk vahşi kötüye kullanımıdır” dedi. “Etkilenen, geçerli olarak imzalanmış ikili dosyalar hala sisteme eklenmediğinden, istismarı hala mümkündür. UEFI iptal listesi.”
“BlackLotus bundan yararlanarak, güvenlik açığından yararlanmak için meşru – ancak savunmasız – ikili dosyaların kendi kopyalarını sisteme getirerek, Kendi Savunmasız Sürücünüzü Getirin (BYOVD) saldırılarının önünü etkili bir şekilde açıyor.
BitLocker, Hipervizör korumalı Kod Bütünlüğü (HVCI) ve Windows Defender, ayrıca ek kullanıcı modu veya çekirdek modu kötü amaçlı yazılımları almak için bir komut ve kontrol (C2) sunucusuyla iletişim kuran bir çekirdek sürücüsü ve bir HTTP indirici bırakmak üzere tasarlanmıştır.
Önyükleme setini dağıtmak için kullanılan tam işleyiş biçimi henüz bilinmiyor, ancak dosyaların bilgisayara yazılmasından sorumlu olan bir yükleyici bileşeniyle başlıyor. EFI sistem bölümüHVCI ve BitLocker’ı devre dışı bırakarak ve ardından ana bilgisayarı yeniden başlatarak.
Yeniden başlatmayı, kalıcılık elde etmek ve önyükleme setini yüklemek için CVE-2022-21894’ün silahlandırılması takip eder ve ardından, çekirdek sürücüsünü dağıtmak için her sistem başlangıcında otomatik olarak yürütülür.
Sürücüye, kullanıcı modu HTTP indiricisini başlatma ve sonraki aşama çekirdek modu yüklerini çalıştırma görevi verilirken, ikincisi, C2 sunucusundan HTTPS üzerinden alınan komutları yürütme yeteneğine sahiptir.
Bu, bir çekirdek sürücüsünün, DLL’nin veya normal bir yürütülebilir dosyanın indirilmesini ve çalıştırılmasını içerir; bootkit güncellemelerini almak ve hatta bootkit’i virüslü sistemden kaldırmak.
Smolár, “UEFI sistemlerinin güvenliğini etkileyen birçok kritik güvenlik açığı son birkaç yılda keşfedildi.” Dedi. “Maalesef, tüm UEFI ekosisteminin karmaşıklığı ve ilgili tedarik zinciri sorunları nedeniyle, bu güvenlik açıklarının çoğu, güvenlik açıkları düzeltildikten veya en azından bize düzeltildiği söylendikten sonra bile birçok sistemi savunmasız bıraktı.”
“Birinin bu başarısızlıklardan yararlanıp UEFI Güvenli Önyüklemenin etkinleştirildiği sistemlerde çalışabilen bir UEFI önyükleme seti oluşturması an meselesiydi.”
