最近的網(wǎng)絡(luò)安全觀察中，一個名為 BlackLotus 的隱蔽 UEFI（統(tǒng)一可擴展固件接口）bootkit 已成為第一個能夠繞過Windows 11安全啟動機制的公開的惡意軟件，這個 bootkit 可以在啟用了 UEFI 安全啟動的最新版 Windows 11 系統(tǒng)上運行。

根據(jù)中國網(wǎng)絡(luò)安全行業(yè)門戶極牛網(wǎng)(GeekNB.com)的梳理，UEFI bootkit部署在系統(tǒng)固件中，其完全控制操作系統(tǒng) (OS) 啟動過程，從而可以禁用操作系統(tǒng)級別的安全機制，并在啟動期間以高權(quán)限部署任意載荷。

該惡意軟件以 5000 美元（后續(xù)新版本升級 200 美元/次）的價格出售，使用 Assembly 和 C 編程開發(fā)，大小僅有 80 KB，但是功能強大且持久能力強，具有地理圍欄功能，可以避免感染亞美尼亞、白俄羅斯、哈薩克斯坦、摩爾多瓦、羅馬尼亞、俄羅斯和烏克蘭的計算機。

BlackLotus 惡意軟件利用一個被漏洞號為 CVE-2022-21894（又名Baton Drop）的安全漏洞，來繞過 UEFI 安全啟動保護并設(shè)置持久性。微軟在其 2022 年 1 月補丁星期二更新中解決了該漏洞。

極牛攻防實驗室表示，該漏洞的成功利用允許在早期啟動階段執(zhí)行任意代碼，從而允許攻擊者在啟用 UEFI 安全啟動的系統(tǒng)上執(zhí)行惡意操作，而無需物理訪問它。

除了可以關(guān)閉 BitLocker、Hypervisor 保護的代碼完整性 ( HVCI ) 和 Windows Defender 等安全機制外，它還設(shè)計用于刪除內(nèi)核驅(qū)動程序和與命令和控制 (C2) 服務(wù)器通信的 HTTP 下載程序，以檢索其他用戶模式或內(nèi)核模式惡意軟件。

用于部署 bootkit 的確切操作方式目前尚不清楚，但它從一個安裝程序組件開始，該組件負責(zé)將文件寫入 EFI 系統(tǒng)分區(qū)，禁用 HVCI 和 BitLocker，然后重新啟動主機。

重啟之后是武器化CVE-2022-21894以實現(xiàn)持久化并安裝bootkit，之后在每次系統(tǒng)啟動時自動執(zhí)行以部署內(nèi)核驅(qū)動程序。

雖然驅(qū)動程序的任務(wù)是啟動用戶模式 HTTP 下載程序并運行下一階段的內(nèi)核模式有效負載，但后者能夠執(zhí)行通過 HTTPS 從 C2 服務(wù)器接收的命令。

這包括下載和執(zhí)行內(nèi)核驅(qū)動程序、DLL 或常規(guī)可執(zhí)行文件，獲取 bootkit 更新，甚至從受感染的系統(tǒng)中卸載 bootkit。

由于整個 UEFI 生態(tài)系統(tǒng)和相關(guān)供應(yīng)鏈問題的復(fù)雜性，即使在漏洞被修復(fù)很長時間之后，或者至少在我們被告知它們已被修復(fù)之后，許多這些漏洞仍然使許多系統(tǒng)容易受到攻擊。