- Onderzoekers van ESET publiceren als eerste een analyse van BlackLotus, de eerste in-the-wild UEFI bootkit die in staat is om een essentiële beveiligingsfunctie van het platform - UEFI Secure Boot - te omzeilen.
- Deze UEFI-bootkit wordt sinds ten minste oktober 2022 op hackingforums verkocht voor 5.000 USD en kan zelfs draaien op volledig up-to-date Windows 11-systemen met Secure Boot ingeschakeld.
- De bootkit maakt gebruik van een kwetsbaarheid van meer dan een jaar oud (CVE-2022-21894) om Secure Boot te omzeilen en persistence voor de bootkit in te stellen. Dit is het eerste bekende misbruik van deze kwetsbaarheid 'in-the-wild'.
- De kwetsbaarheid werd verholpen in Microsoft's update van januari 2022; exploitatie ervan is echter nog steeds mogelijk en kan het uitschakelen van beveiligingsmechanismen van het besturingssysteem zoals BitLocker, HVCI en Windows Defender mogelijk maken.
- BlackLotus is eenvoudig te installeren en kan zich snel verspreiden als het in handen komt van crimeware groepen.
- Sommige van de door ESET geanalyseerde BlackLotus installatieprogramma's gaan niet verder met de installatie van de bootkit als de gecompromitteerde host uit één van de volgende landen komt: Armenië, Wit-Rusland, Kazachstan, Moldavië, Rusland of Oekraïne.
Sliedrecht, 1 maart 2023 - Onderzoekers van ESET publiceren als eerste een analyse van een UEFI bootkit die een essentiële beveiligingsfunctie van het platform - Secure Boot - kan omzeilen. De functionaliteit van de bootkit en zijn individuele kenmerken doen ESET Research geloven dat het om een dreiging gaat die bekend staat als BlackLotus, een UEFI bootkit die sinds tenminste oktober 2022 op hackingforums wordt verkocht voor 5.000 dollar. Deze bootkit kan zelfs draaien op volledig up-to-date Windows 11 systemen met UEFI Secure Boot ingeschakeld.
"Ons onderzoek begon met een paar hits op wat (met een hoge mate van betrouwbaarheid) de BlackLotus user-mode component bleek te zijn - een HTTP downloader - in onze telemetrie eind 2022. Na een eerste beoordeling brachten de gevonden codepatronen in de samples monsters ons tot de ontdekking van zes BlackLotus-installers. Hierdoor konden we de hele uitvoeringsketen onderzoeken en realiseerden wij ons dat we hier niet te maken hadden met gewone malware," zegt Martin Smolár, de ESET-onderzoeker die het onderzoek naar de bootkit leidde.
De bootkit maakt gebruik van een kwetsbaarheid van meer dan een jaar oud (CVE-2022-21894) om UEFI Secure Boot te omzeilen en persistence in te stellen voor de bootkit. Dit is het eerste openbaar bekende misbruik van deze kwetsbaarheid in-the-wild. Hoewel de kwetsbaarheid is verholpen in Microsofts update van januari 2022, is misbruik ervan nog steeds mogelijk omdat de getroffen, geldig ondertekende binaries nog steeds niet zijn toegevoegd aan de UEFI revocation list. BlackLotus maakt hier misbruik van door zijn eigen kopieën van legitieme - maar kwetsbare - binaries naar het systeem te brengen om de kwetsbaarheid uit te buiten.
BlackLotus kan beveiligingsmechanismen van het besturingssysteem uitschakelen, zoals BitLocker, HVCI en Windows Defender. Eenmaal geïnstalleerd, is het belangrijkste doel van de bootkit om een kerneldriver (die onder andere de bootkit beschermt tegen verwijdering) en een HTTP downloader te installeren. Die laatste is verantwoordelijk voor de communicatie met de Command and Control server en is in staat om extra user-mode of kernel-mode payloads te laden. Interessant is dat sommige van de BlackLotus-installers die ESET heeft de bootkit-installatie niet doorzetten als de gecompromitteerde host locales gebruikt uit Armenië, Wit-Rusland, Kazachstan, Moldavië, Rusland of Oekraïne.
BlackLotus wordt al minstens sinds begin oktober 2022 geadverteerd en verkocht op ondergrondse fora. "We kunnen nu bewijs presenteren dat deze bootkit echt is en dat de advertentie niet slechts een scam is," zegt Smolár. "Het lage aantal BlackLotus-monsters dat we hebben kunnen verkrijgen, zowel uit openbare bronnen als uit onze telemetrie, doet ons geloven dat nog niet veel dreigingsactoren het gebruiken. We vrezen dat dit snel kan veranderen als deze bootkit in handen komt van crimeware groepen, aangezien de eenvoudige inzetbaarheid van de bootkit en de mogelijkheden van crimeware groepen om malware te verspreiden met behulp van hun botnets."
De afgelopen jaren zijn veel kritieke kwetsbaarheden ontdekt die de veiligheid van UEFI-systemen aantasten. Door de complexiteit van het hele UEFI-ecosysteem en de daarmee samenhangende problemen in de supply chain zorgen veel van deze kwetsbaarheden helaas nog lange tijd voor kwetsbare systemen zelfs nadat de kwetsbaarheden zijn verholpen ... of in ieder geval sinds ons is verteld dat ze zijn verholpen.
UEFI-bootkits zijn zeer krachtige cyberdreigingen, die volledige controle krijgen over het opstartproces van het besturingssysteem. Hierdoor zijn deze dreigingen in staat om verschillende beveiligingsmechanismen van het besturingssysteem uit te schakelen en hun eigen kernel- of gebruikersmodus payloads in te zetten in de vroege opstartfasen. Op die manier kunnen zij zeer opopvallend en met hoge privileges opereren. Tot dusver zijn er slechts enkele UEFI-bootkits in-the-wild ontdekt en openbaar beschreven. UEFI-bootkits verliezen mogelijk aan stealthiness in vergelijking met firmware-implantaten - zoals LoJax, het eerste in-the-wild UEFI-firmware-implantaat, ontdekt door ESET Research in 2018 - omdat bootkits zich op een gemakkelijk toegankelijke FAT32-schijfpartitie bevinden. Het draaien als bootloader geeft ze echter bijna dezelfde mogelijkheden, zonder dat ze meerdere lagen beveiligingsfuncties die beschermen tegen firmware-implantaten hoeven te overwinnen.
"Het beste advies is natuurlijk om uw systeem en het bijbehorende beveiligingsproduct up-to-date te houden om de kans te vergroten dat een dreiging meteen in het begin wordt gestopt, voordat deze pre-OS persistentie kan bereiken," besluit Smolár.
Bekijk voor meer technische informatie over BlackLotus, samen met advies over mitigatie en herstel, de blogpost "BlackLotus UEFI Bootkit: Myth confirmed" op WeLiveSecurity en volg ESET Research op Twitter voor het laatste nieuws.
Over ESET
Al meer dan 3 decennia ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten voor het leveren van uitgebreide, meerlaagse bescherming tegen cyberdreigingen voor bedrijven, kritieke infrastructuur en consumenten wereldwijd. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf uit de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET is sinds haar oprichting pionier op het gebied van machine learning en cloud technologieën die malware voorkomen, detecteren en erop reageren. ESET is een particulier bedrijf dat wereldwijd wetenschappelijk onderzoek & ontwikkeling bevordert. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook,Instagram en Twitter.