BlackLotus, un nuovo malware molto potente

Un bootkit invisibile, chiamato BlackLotus, è diventato il primo malware noto pubblicamente, in grado di aggirare le difese Secure Boot del sistema UEFI (Unified Extensible Firmware Interface). Questo lo rende una potente minaccia nel panorama informatico, poiché può essere eseguito su sistemi Windows 11 completamente aggiornati con UEFI Secure Boot abilitato.

Cosa sono i Bootkits

I Bootkit UEFI sono impiantati nel firmware di sistema e permettono il completo controllo del processo di avvio del sistema operativo, rendendo possibile la disattivazione dei meccanismi di sicurezza a livello OS e l’installazione di payload arbitrari durante l’avvio, con privilegi elevati.

Costoso ma smart

Il toolkit è disponibile all’acquisto per 5.000 dollari ed è caratterizzato dalla sua potenza e persistenza. È stato programmato in Assembly e C e ha una dimensione di 80 kilobyte. Inoltre, dispone di funzionalità di geofencing per evitare l’infezione di computer presenti in Armenia, Bielorussia, Kazakistan, Moldavia, Romania, Russia e Ucraina.

Quando ha fatto capolino sul “mercato”

Nell’ottobre 2022, sono emersi i primi dettagli su BlackLotus.

Questo crimeware, rappresenta un notevole balzo in avanti in termini di facilità d’uso, scalabilità, accessibilità e, soprattutto, potenziale impatto, grazie alla sua capacità di persistenza, evasione e distruzione.

Cosa lo rende efficace

BlackLotus sfrutta la vulnerabilità di sicurezza nota come CVE-2022-21894, anche chiamata Baton Drop, per aggirare le protezioni di UEFI Secure Boot e impostare la persistenza. Microsoft ha risolto la vulnerabilità nell’aggiornamento Patch Tuesday di gennaio 2022. 

Sfruttare con successo questa vulnerabilità, consente l’esecuzione di codice arbitrario durante le prime fasi di avvio, consentendo a un attore malevolo di eseguire azioni dannose su un sistema con UEFI Secure Boot abilitato, senza dover accedere fisicamente al sistema.

Questa è la prima volta che si ha notizia pubblica di un abuso in-the-wild di questa vulnerabilità. Lo sfruttamento della vulnerabilità è ancora possibile in quanto i file binari interessati, pur essendo validamente firmati, non sono ancora stati aggiunti all’elenco di revoca di UEFI. BlackLotus sfrutta questa vulnerabilità, portando i propri binari legittimi ma vulnerabili nel sistema, aprendo così la strada ad attacchi Bring Your Own Vulnerable Driver (BYOVD).

Come funziona

BlackLotus è progettato non solo per disattivare meccanismi di sicurezza come BitLocker, Hypervisor-protected Code Integrity (HVCI) e Windows Defender, ma anche per rimuovere un driver del kernel e un downloader HTTP che comunica con un server di comando e controllo (C2) per recuperare malware aggiuntivo, sia in modalità utente che in modalità kernel. Anche se il metodo esatto utilizzato per distribuire il bootkit è ancora sconosciuto, si sa che inizia con un componente di installazione che è responsabile della scrittura di file nella partizione di sistema EFI, della disabilitazione di HVCI e BitLocker, e infine del riavvio dell’host.

Dopo il riavvio dell’host, il bootkit BlackLotus sfrutta CVE-2022-21894 per ottenere la persistenza e installare il driver del kernel. Il driver, una volta installato, avvia un downloader HTTP in modalità utente e un payload in modalità kernel next-stage. Il downloader è in grado di eseguire i comandi ricevuti dal server C2 tramite HTTPS, inclusi il download e l’esecuzione di un driver del kernel, DLL o un normale eseguibile. Inoltre, può recuperare gli aggiornamenti del bootkit e persino disinstallare il bootkit dal sistema infetto. Il driver del bootkit è anche progettato per disattivare meccanismi di sicurezza come BitLocker, Hypervisor-protected Code Integrity (HVCI) e Windows Defender, nonché per eliminare un driver del kernel. Sebbene non sia noto l’esatto metodo di distribuzione del bootkit, il processo inizia con un componente di installazione che scrive i file nella partizione di sistema EFI, disabilita HVCI e BitLocker e riavvia il sistema.

Purtroppo, a causa della complessità dell’intero ecosistema UEFI e dei relativi problemi di supply-chain, molte vulnerabilità sono state risolte solo dopo molto tempo, lasciando molti sistemi vulnerabili. 

Era inevitabile che qualcuno sfruttasse queste lacune e creasse un bootkit UEFI in grado di funzionare su sistemi con UEFI Secure Boot abilitato.