Facebook Twitter Instagram
    Trending
    • Un futuro a base di neuroni artificiali: cos’è il progetto Neho?
    • Whatsapp: arrivano i canali, ecco come funzionano
    • “Etichettare tutti i contenuti creati dall’Intelligenza artificiale”: la richiesta dell’Ue per fermare la disinformazione
    • Intelligenza artificiale alla regia: il primo cortometraggio di OpenAI
    • Microsoft: multa da 20 milioni per il colosso dell’informatica per aver raccolto dati di minori
    • Apple presenta il Vision Pro, la nuova frontiera del Metaverso
    • L’intelligenza artificiale aiuta anche a pianificare i viaggi
    • Open AI sostiene la cybersecurity stanziando 1 milione di dollari
    Cryptohack
    • Ultime notizie
    • Crypto
    • Metaverso
    • NFT
    • DeFi
    • Cyber Security
    • Approfondimenti
    Cryptohack
    Home»Ultime notizie»BlackLotus, un nuovo malware molto potente
    Ultime notizie

    BlackLotus, un nuovo malware molto potente

    Acquistabile sul black market per 5.000 dollari e di una pericolosità estrema
    Marco MarraBy Marco Marra2 Marzo 2023Nessun commento4 Mins Read
    Computer hackerato
    Immagine | Envato Elements

    Un bootkit invisibile, chiamato BlackLotus, è diventato il primo malware noto pubblicamente, in grado di aggirare le difese Secure Boot del sistema UEFI (Unified Extensible Firmware Interface). Questo lo rende una potente minaccia nel panorama informatico, poiché può essere eseguito su sistemi Windows 11 completamente aggiornati con UEFI Secure Boot abilitato.

    Malware
    Immagine | Envato Elements

    Cosa sono i Bootkits

    I Bootkit UEFI sono impiantati nel firmware di sistema e permettono il completo controllo del processo di avvio del sistema operativo, rendendo possibile la disattivazione dei meccanismi di sicurezza a livello OS e l’installazione di payload arbitrari durante l’avvio, con privilegi elevati.

    Costoso ma smart

    Il toolkit è disponibile all’acquisto per 5.000 dollari ed è caratterizzato dalla sua potenza e persistenza. È stato programmato in Assembly e C e ha una dimensione di 80 kilobyte. Inoltre, dispone di funzionalità di geofencing per evitare l’infezione di computer presenti in Armenia, Bielorussia, Kazakistan, Moldavia, Romania, Russia e Ucraina.

    Quando ha fatto capolino sul “mercato”

    Nell’ottobre 2022, sono emersi i primi dettagli su BlackLotus.

    Questo crimeware, rappresenta un notevole balzo in avanti in termini di facilità d’uso, scalabilità, accessibilità e, soprattutto, potenziale impatto, grazie alla sua capacità di persistenza, evasione e distruzione.

    Cosa lo rende efficace

    BlackLotus sfrutta la vulnerabilità di sicurezza nota come CVE-2022-21894, anche chiamata Baton Drop, per aggirare le protezioni di UEFI Secure Boot e impostare la persistenza. Microsoft ha risolto la vulnerabilità nell’aggiornamento Patch Tuesday di gennaio 2022. 

    Sfruttare con successo questa vulnerabilità, consente l’esecuzione di codice arbitrario durante le prime fasi di avvio, consentendo a un attore malevolo di eseguire azioni dannose su un sistema con UEFI Secure Boot abilitato, senza dover accedere fisicamente al sistema.

    Questa è la prima volta che si ha notizia pubblica di un abuso in-the-wild di questa vulnerabilità. Lo sfruttamento della vulnerabilità è ancora possibile in quanto i file binari interessati, pur essendo validamente firmati, non sono ancora stati aggiunti all’elenco di revoca di UEFI. BlackLotus sfrutta questa vulnerabilità, portando i propri binari legittimi ma vulnerabili nel sistema, aprendo così la strada ad attacchi Bring Your Own Vulnerable Driver (BYOVD).

    Smartphone hackerato
    Immagine | Envato Elements

    Come funziona

    BlackLotus è progettato non solo per disattivare meccanismi di sicurezza come BitLocker, Hypervisor-protected Code Integrity (HVCI) e Windows Defender, ma anche per rimuovere un driver del kernel e un downloader HTTP che comunica con un server di comando e controllo (C2) per recuperare malware aggiuntivo, sia in modalità utente che in modalità kernel. Anche se il metodo esatto utilizzato per distribuire il bootkit è ancora sconosciuto, si sa che inizia con un componente di installazione che è responsabile della scrittura di file nella partizione di sistema EFI, della disabilitazione di HVCI e BitLocker, e infine del riavvio dell’host.

    Dopo il riavvio dell’host, il bootkit BlackLotus sfrutta CVE-2022-21894 per ottenere la persistenza e installare il driver del kernel. Il driver, una volta installato, avvia un downloader HTTP in modalità utente e un payload in modalità kernel next-stage. Il downloader è in grado di eseguire i comandi ricevuti dal server C2 tramite HTTPS, inclusi il download e l’esecuzione di un driver del kernel, DLL o un normale eseguibile. Inoltre, può recuperare gli aggiornamenti del bootkit e persino disinstallare il bootkit dal sistema infetto. Il driver del bootkit è anche progettato per disattivare meccanismi di sicurezza come BitLocker, Hypervisor-protected Code Integrity (HVCI) e Windows Defender, nonché per eliminare un driver del kernel. Sebbene non sia noto l’esatto metodo di distribuzione del bootkit, il processo inizia con un componente di installazione che scrive i file nella partizione di sistema EFI, disabilita HVCI e BitLocker e riavvia il sistema.

    Purtroppo, a causa della complessità dell’intero ecosistema UEFI e dei relativi problemi di supply-chain, molte vulnerabilità sono state risolte solo dopo molto tempo, lasciando molti sistemi vulnerabili. 

    Era inevitabile che qualcuno sfruttasse queste lacune e creasse un bootkit UEFI in grado di funzionare su sistemi con UEFI Secure Boot abilitato.

    BlackLotus Malware
    Marco Marra
    Marco Marra

    Appassionato di tecnologia ed esperto di Cyber Security con molti anni di esperienza nella prevenzione e gestione delle minacce cibernetiche. Altamente qualificato grazie alla continua formazione tecnica ed alle innumerevoli collaborazioni su progetti di sicurezza di importanti dimensioni in aziende italiane e multinazionali. Costantemente impegnato in attività di hacking etico e nella progettazione di sistemi di difesa Cyber Fisici

    Related Posts

    Whatsapp: arrivano i canali, ecco come funzionano

    9 Giugno 2023

    “Etichettare tutti i contenuti creati dall’Intelligenza artificiale”: la richiesta dell’Ue per fermare la disinformazione

    8 Giugno 2023

    Microsoft: multa da 20 milioni per il colosso dell’informatica per aver raccolto dati di minori

    7 Giugno 2023

    Comments are closed.

    Ultime news

    Un futuro a base di neuroni artificiali: cos’è il progetto Neho?

    9 Giugno 2023

    Whatsapp: arrivano i canali, ecco come funzionano

    9 Giugno 2023

    “Etichettare tutti i contenuti creati dall’Intelligenza artificiale”: la richiesta dell’Ue per fermare la disinformazione

    8 Giugno 2023

    Intelligenza artificiale alla regia: il primo cortometraggio di OpenAI

    7 Giugno 2023
    • Home
    • Redazione
    • Privacy Policy
    • Disclaimer
    • Pubblicità
    • Terms of Service
    • Contattaci
    Copyright © 2023 | Cryptohack.it proprietà di Editorially Srl - Via Assisi 21 - 00181 Roma - P.Iva 16947451007 | legal@editorially.it | redazione@editorially.it

    Type above and press Enter to search. Press Esc to cancel.