ESET の研究者は、Windows の重要なセキュリティ機能である UEFI セキュア ブートをバイパスできる UEFI ブートキットの最初の分析結果を発表しました。この脅威にはすでに BlackLotus という名前が付けられています。
BlackLotus、ハッキング フォーラムで約 5,000 ドルで販売されている UEFI ブートキット、おそらく、セキュア ブートをバイパスできるようになりました。Windows 11(フランス語でセキュア ブート)、ファームウェア セキュリティ機能が有効になっている場合でも、Windows システム上で実行されることが確認されている最初のマルウェアです。
思い出してください。UEFI は、統合された拡張可能なファームウェア インターフェイスを意味します、そしてこれは従来の BIOS ファームウェアの後継(基本入出力システム)。一方、セキュア ブートは次のように設計されています。システムが信頼できるソフトウェアとファームウェアでのみ起動するようにしてください。一方、ブートキットは、コンピュータの起動プロセスに感染するマルウェア。
BlackLotus は世界で最も危険なマルウェアの 1 つになる
UEFI ブートキットは非常に強力な脅威であり、オペレーティング システムのブート プロセスを完全に制御するため、さまざまなオペレーティング システムのセキュリティ メカニズムを無効にするそして、PC 起動の初期段階で独自のカーネル モード ペイロードまたはユーザー モード ペイロードを展開します。これにより、彼らは、非常に密かに、高い特権で動作します。これまでのところ、野生で発見され、公に説明されているのはほんのわずかです。
BlackLotus では特にBitLocker、HVCI、Windows Defender などのオペレーティング システムのセキュリティ メカニズムを無効にします。ブートキットのインストール後の主な目的は、カーネル ドライバー (とりわけ、ブートキットを削除から保護する) と、コマンド アンド コントロール サーバーとの通信を担当し、ペイロードの追加の便利な機能をロードできる HTTP ダウンローダーを展開することです。ユーザーモードまたはカーネルモード。
こちらもお読みください–ハッカーは現在国際的な攻撃を行っています。このソフトウェアをすぐに更新してください
BlackLotusは東ヨーロッパで非常に活発になるだろう
BlackLotus が機能するには、1 年以上前の脆弱性 CVE-2022-21894 を悪用して、セキュア ブート プロセスをバイパスし、永続性を確立します。Microsoftは2022年1月に修正するはずだったが、影響を受けるバイナリを UEFI 失効リストに追加するのを忘れていた可能性があります。
BlackLotus はアセンブリ言語と C でプログラムされており、サイズは 80 キロバイトで、すでにアルメニア、ベラルーシ、カザフスタン、モルドバ、ルーマニア、ロシア、ウクライナの PC への感染に使用されています。私たちとしては、次のことを覚えておきましょうフランスは特定のサイバー攻撃の標的にされることが最も多い5番目の国。
BlackLotus に関する最初の詳細は、2022 年 10 月に明らかになりました。Kaspersky のセキュリティ研究者である Sergey Lozhkin 氏は、BlackLotus を洗練されたクライムウェアであると説明しました。今のところ、ESET は次のように考えています。このマルウェアはまだ多くのハッカーによって使用されていませんおそらくその根絶が容易になるでしょう。
感染した PC から BlackLotus を駆除するにはどうすればよいですか?
BlackLotus はステルス性があり、多くの削除防止保護機能を備えていますが、ESET の研究者は、HTTP ダウンローダーがカーネル ドライバーにコマンドを渡す方法に弱点を発見したと考えており、ユーザーがブートキットを削除できる可能性があります。
«HTTP ダウンローダーがコマンドをカーネル ドライバーに渡したい場合は、単に名前付きセクションを作成し、その中に関連データを含むコマンドを書き込み、名前付きイベントを作成してドライバーによってコマンドが処理されるのを待ちます。パイロットがそれをトリガーする(または信号を送る)」とESETは説明した。
それで、カーネルドライバーはインストールコマンドとアンインストールコマンドをサポートしますなど«前述の名前付きオブジェクトを作成し、アンインストール コマンドを送信することで、ブートキットを完全にアンインストールすることができます。»。
ESETは、UEFI失効リストを簡単に更新することでBlackLotusによる脅威を軽減できるが、感染したシステムからブートキットを削除することはできないとすでに発表しています。そのために、Windows の新規インストールと、攻撃者が保存した MOK キーの削除が必要になります。(たとえば、mokutil ユーティリティを使用します)。
«もちろん、最善のアドバイスは、システムとそのセキュリティ製品を最新の状態に保ち、脅威が OS 以前のシステムに到達する前に早期に阻止できる可能性を高めることです。» とESET研究者のSmolár氏は結論づけています。
