أصبحت مجموعة UEFI Stealth Boot Kit تسمى BlackLotus أول برنامج ضار معروف بشكل عام قادر على تجاوز التمهيد الآمن، مما يجعله تهديدًا قويًا في سيناريوهات الإنترنت.
قالت شركة الأمن السيبراني السلوفاكية ESET في تقرير تمت مشاركته مع The Hacker News، إنه يمكن تشغيل مجموعة التمهيد على أنظمة Windows 11 المحدثة بالكامل مع تمكين UEFI Secure Boot.
يتم نشر UEFI bootset في البرامج الثابتة للنظام ويسمح بالتحكم الكامل في عملية تمهيد نظام التشغيل (OS)، مما يسمح بتعطيل آليات الأمان على مستوى نظام التشغيل ونشر الحمولات التعسفية بامتيازات مرتفعة أثناء التمهيد.
تبلغ تكلفة مجموعة الأدوات القوية هذه 5000 دولار (200 دولار لكل إصدار لاحق جديد)، ومبرمجة في التجميع و C، وقياس 80 كيلو بايت. كما أن لديها ميزات تحديد الموقع الجغرافي لتجنب إصابة أجهزة الكمبيوتر في أرمينيا وبيلاروسيا وكازاخستان ومولدوفا ورومانيا وروسيا وأوكرانيا.
ظهرت التفاصيل حول BlackLotus لأول مرة في أكتوبر 2022، حيث وصفها الباحث الأمني في Kaspersky Sergey Lozhkin بأنها حل برامج جرائم معقد.
أشار سكوت شيفرمان من Eclypsium إلى أن هذا يمثل نوعًا من القفزة إلى الأمام من حيث قابلية الاستخدام، وقابلية التوسع، وإمكانية الوصول، والأهم من ذلك، إمكانية إحداث تأثير أكبر من حيث المثابرة، والتهرب، و / أو أشكال الاضطراب.
يقال إن BlackLotus يستغل ثغرة أمنية تم تعقبها باسم CVE-2022-21894 (المعروف أيضًا باسم Baton Drop) لتجاوز حماية UEFI Secure Boot وإعدادات الثبات. عالجت Microsoft الثغرة الأمنية في تحديث يوم الثلاثاء التصحيح لشهر يناير 2022.
وفقًا للباحث في ESET Martin Smolar، هذه هي المرة الأولى التي يتم فيها إساءة استخدام الثغرة بشكل علني. لا يزال الاستغلال ممكنًا لأن الثنائيات المتأثرة لم يتم توقيعها وإضافتها بشكل صحيح إلى قائمة إزالة تثبيت UEFI.
استفادت BlackLotus من هذا من خلال تقديم نسختها الخاصة من برنامج ثنائي شرعي ولكنه ضعيف في النظام لاستغلال الثغرة الأمنية، مما يمهد الطريق بشكل فعال لهجوم السائق الضعيف (BYOVD).
بالإضافة إلى إيقاف تشغيل آليات الأمان مثل BitLocker و Protected Code Integrity (HVCI) hypervisor و Windows Defender، يمكنه أيضًا إسقاط برامج تشغيل kernel وأدوات تنزيل HTTP المتصلة بخوادم الأوامر والتحكم (C2) للمستخدمين الآخرين - استعادة البرامج الضارة في الوضع أو kernel وضع.
طريقة العمل الدقيقة المستخدمة لنشر bootkit غير معروفة، لكنها تبدأ بمكون المثبت المسؤول عن كتابة الملفات إلى قسم نظام EFI، وتعطيل HVCI و BitLocker، وإعادة تشغيل المضيف.
تم إعداد إعادة التشغيل بعد CVE-2022-21894 للاستقرار وتثبيت مجموعة التمهيد، وبعد ذلك يتم تنفيذه تلقائيًا على كل نظام يبدأ نشر برنامج تشغيل kernel.
بينما يتم تكليف السائق بتشغيل أداة تنزيل HTTP في وضع المستخدم وحمولة وضع kernel بعد ذلك، فإن الأخير قادر على تنفيذ الأوامر من خادم C2 عبر HTTPS.
يتضمن ذلك تنزيل برامج تشغيل kernel أو ملفات DLL أو الملفات التنفيذية العادية وتنفيذها ؛ الحصول على تحديثات bootkit، وحتى إلغاء تثبيت مجموعات التمهيد من الأنظمة المصابة.
قال Smollar: على مدى السنوات القليلة الماضية، تم اكتشاف العديد من نقاط الضعف الحرجة التي تؤثر على أمان أنظمة UEFI. لسوء الحظ، نظرًا لتعقيد نظام UEFI البيئي بأكمله ومشكلات سلسلة التوريد ذات الصلة، فقد ترك العديد من هذه الثغرات العديد من الأنظمة عرضة للخطر بعد فترة طويلة من التصحيح - أو على الأقل بعد التصحيح دعنا نعرف أنه تم إصلاحه.
لقد كانت مسألة وقت فقط قبل أن يستغل شخص ما هذه الثغرات وأنشأ مجموعة تمهيد UEFI قادرة على العمل على الأنظمة التي تدعم التمهيد الآمن لـ UEFI.