最近的網(wǎng)絡(luò)安全觀察中，一個(gè)名為 BlackLotus 的隱蔽 UEFI（統(tǒng)一可擴(kuò)展固件接口）bootkit 已成為第一個(gè)能夠繞過Windows 11安全啟動(dòng)機(jī)制的公開的惡意軟件，這個(gè) bootkit 可以在啟用了 UEFI 安全啟動(dòng)的最新版 Windows 11 系統(tǒng)上運(yùn)行。

根據(jù)中國網(wǎng)絡(luò)安全行業(yè)門戶極牛網(wǎng)(GeekNB.com)的梳理，UEFI bootkit部署在系統(tǒng)固件中，其完全控制操作系統(tǒng) (OS) 啟動(dòng)過程，從而可以禁用操作系統(tǒng)級別的安全機(jī)制，并在啟動(dòng)期間以高權(quán)限部署任意載荷。

該惡意軟件以 5000 美元（后續(xù)新版本升級 200 美元/次）的價(jià)格出售，使用 Assembly 和 C 編程開發(fā)，大小僅有 80 KB，但是功能強(qiáng)大且持久能力強(qiáng)，具有地理圍欄功能，可以避免感染亞美尼亞、白俄羅斯、哈薩克斯坦、摩爾多瓦、羅馬尼亞、俄羅斯和烏克蘭的計(jì)算機(jī)。

BlackLotus 惡意軟件利用一個(gè)被漏洞號為 CVE-2022-21894（又名Baton Drop）的安全漏洞，來繞過 UEFI 安全啟動(dòng)保護(hù)并設(shè)置持久性。微軟在其 2022 年 1 月補(bǔ)丁星期二更新中解決了該漏洞。

極牛攻防實(shí)驗(yàn)室表示，該漏洞的成功利用允許在早期啟動(dòng)階段執(zhí)行任意代碼，從而允許攻擊者在啟用 UEFI 安全啟動(dòng)的系統(tǒng)上執(zhí)行惡意操作，而無需物理訪問它。

除了可以關(guān)閉 BitLocker、Hypervisor 保護(hù)的代碼完整性 (?HVCI?) 和 Windows Defender 等安全機(jī)制外，它還設(shè)計(jì)用于刪除內(nèi)核驅(qū)動(dòng)程序和與命令和控制 (C2) 服務(wù)器通信的 HTTP 下載程序，以檢索其他用戶模式或內(nèi)核模式惡意軟件。

用于部署 bootkit 的確切操作方式目前尚不清楚，但它從一個(gè)安裝程序組件開始，該組件負(fù)責(zé)將文件寫入 EFI 系統(tǒng)分區(qū)，禁用 HVCI 和 BitLocker，然后重新啟動(dòng)主機(jī)。

重啟之后是武器化CVE-2022-21894以實(shí)現(xiàn)持久化并安裝bootkit，之后在每次系統(tǒng)啟動(dòng)時(shí)自動(dòng)執(zhí)行以部署內(nèi)核驅(qū)動(dòng)程序。

雖然驅(qū)動(dòng)程序的任務(wù)是啟動(dòng)用戶模式 HTTP 下載程序并運(yùn)行下一階段的內(nèi)核模式有效負(fù)載，但后者能夠執(zhí)行通過 HTTPS 從 C2 服務(wù)器接收的命令。

這包括下載和執(zhí)行內(nèi)核驅(qū)動(dòng)程序、DLL 或常規(guī)可執(zhí)行文件，獲取 bootkit 更新，甚至從受感染的系統(tǒng)中卸載 bootkit。

由于整個(gè) UEFI 生態(tài)系統(tǒng)和相關(guān)供應(yīng)鏈問題的復(fù)雜性，即使在漏洞被修復(fù)很長時(shí)間之后，或者至少在我們被告知它們已被修復(fù)之后，許多這些漏洞仍然使許多系統(tǒng)容易受到攻擊。