BlackLotus UEFI-Bootkit-Erkennung: Nutzt CVE-2022-21894 aus, um UEFI Secure Boot zu umgehen und deaktiviert Betriebssystem-Sicherheitsmechanismen
Inhaltsverzeichnis:
Eine zunehmende Anzahl von Sicherheitslücken in der Unified Extensible Firmware Interface (UEFI), die in den letzten Jahren aufgedeckt wurden, geben offensiven Kräften grünes Licht, sie auszunutzen. Im Jahr 2022 sorgte der berüchtigte in freier Wildbahn eingesetzte MoonBounce-Malware für großes Aufsehen in der Cyber-Bedrohungslandschaft, da sie über den UEFI-Bootkit verteilt wurde. Eine weitere derartige Malware, genannt BlackLotus, wütet derzeit in der freien Wildbahn und gilt als der erste hochgradig ausweichende UEFI-Bootkit, der in der Lage ist, bedeutende Sicherheitsmechanismen zu umgehen.
BlackLotus UEFI Bootkit erkennen
Da der BlackLotus-Bootkit die erste Malware ist, die in freier Wildbahn eingesetzt wird, um den Sicherheitsmechanismus von Microsoft zu umgehen, stellt er eine erhebliche Bedrohung für Cyber-Verteidiger weltweit dar. Um die schädlichen Aktivitäten im Zusammenhang mit BlackLotus-Cyberangriffen zu erkennen, bietet die Detection as Code-Plattform von SOC Prime einen Satz relevanter Sigma-Regeln:
Die erste Regel des SOC Prime-Teams identifiziert die Erstellung einer Firmware-Datei im System32-Verzeichnis durch eine Nicht-System-Binärdatei, die für böswillige Zwecke weiter missbraucht werden könnte. Die Erkennung ist kompatibel mit über 20 SIEM-, EDR- und XDR-Plattformen und entspricht dem MITRE ATT&CK®-Rahmenwerk v12, das die Taktik der Verschleierung der Verteidigung mit System-Firmware (T0857) als entsprechende Technik adressiert.
Mögliche Deaktivierung der Speicherintegrität der Core Isolation (via registry_set)
Diese zweite Regel, entwickelt von unserem erfahrenen Threat Bounty-Entwickler Nattatorn Chuensangarun, erkennt die Deaktivierung der Speicherintegrität der Core Isolation, auch bekannt als Hypervisor-geschützte Code-Integrität (HVCI), über eine Registereinstellung. Die Erkennung ist kompatibel mit über 15 SIEM-, EDR- und XDR-Plattformen und steht im Einklang mit der MITRE ATT&CK®-Rahmenwerk v12, die die Taktik der Verschleierung der Verteidigung mit Beeinträchtigung der Abwehr (T1562) und der Änderung des Registers (T1112) als entsprechende Techniken adressiert.
Ambitionierte Bedrohungsforscher, die nach Möglichkeiten suchen, zur kollektiven Cyber-Verteidigung beizutragen, sind eingeladen, sich den Reihen des Threat Bounty Program Crowdsourcing-Initiative anzuschließen. Schreiben Sie Erkennungscode, der von Sigma und ATT&CK unterstützt wird, teilen Sie Ihr Fachwissen mit Branchenkollegen und erhalten Sie Prämien für die Qualität und Geschwindigkeit Ihrer Arbeit, während Sie ständig Ihre Fähigkeiten in der Detektionsentwicklung verbessern.
Bis heute aggregiert die SOC Prime-Plattform eine Reihe von Erkennungsregeln, um die schädlichen Aktivitäten im Zusammenhang mit Malware, die UEFI-Funktionalität missbraucht, zu identifizieren. Klicken Sie auf die Schaltfläche Erkennungen erkunden um die Erkennungsalgorithmen zu überprüfen, die von den entsprechenden ATT&CK-Referenzen, Bedrohungsintelligenz-Links und anderen relevanten Metadaten begleitet werden.
BlackLotus UEFI Bootkit, das CVE-2022-21894 ausnutzt: Angriffsbeschreibung
Die Unified Extensible Firmware Interface (UEFI) ist eine hochmoderne Technologie und Spezifikation für ein Softwareprogramm, das weithin verwendet wird, um die Startsequenz eines Geräts zu erleichtern und die Firmware eines Computers mit seinem Betriebssystem (OS) zu verbinden. In den letzten Jahren sind UEFI-Schwachstellen zu einem Anziehungspunkt für Angreifer geworden, die sie in einer breiten Palette offensiver Operationen nutzen. Die beliebtesten Malware-Stämme, die mithilfe von UEFI-Bootkits geliefert werden, sind LoJax, das erste in freier Wildbahn eingesetzte UEFI-Firmware-Implantat, MosaicRegressor und MoonBounce, Letzteres ist ein Meilenstein in der Entwicklung von UEFI-Rootkits aufgrund seiner schwer zu erkennenden, ausgeklügelten Fähigkeiten.
Ein neuartiger UEFI-Bootkit, bekannt als BlackLotus, wird seit Mitte Herbst 2022 aktiv in Hacking-Foren verbreitet. BlackLotus ist der erste öffentlich bekannte UEFI-Bootkit, der in der Lage ist, eine bedeutende Sicherheitsfunktionalität, das UEFI Secure Boot, zu umgehen und auf den neuesten, vollständig gepatchten Windows 11-Systemen auszuführen.
Laut dem neuesten Bericht der ESET-Sicherheitsgemeinschaft bericht, könnte BlackLotus für kompromittierte Nutzer eine erhebliche Bedrohung darstellen, da es die volle Kontrolle über den OS-Startprozess erlangen kann, was weiter zur Deaktivierung kritischer OS-Sicherheitsmaßnahmen und zur Verbreitung mehrerer Nutzlasten in den frühen OS-Startphasen führen kann., BlackLotus can pose a significant menace to compromised users due to its ability to gain full control over the OS boot process, which can further lead to disabling critical OS security protection and spreading multiple payloads at the early OS startup stages.
Zuerst führen Bedrohungsakteure einen Installer aus, um den OS-Schutz zu deaktivieren und die kompromittierte Maschine neu zu starten. Im weiteren Verlauf nutzen sie eine alte Secure Boot-Schwachstelle, bekannt als CVE-2022-21894, die unabhängig von ihrer Behebung durch Microsoft zum Jahreswechsel 2022 weiterhin ausnutzbar ist, und registrieren dann den Machine Owner Key des Angreifers, um die Persistenz der Malware zu gewährleisten. Bei weiteren Neustarts installiert der installierte BlackLotus einen Kernel-Treiber, um die Persistenz der Malware aufrechtzuerhalten, und eine abschließende Benutzerkomponente im Benutzermodus, einen HTTP-Downloader, der für C2-Kommunikation verantwortlich ist, um zusätzliche Nutzlasten auf das kompromittierte System zu übertragen.
Die neue Malware gewinnt weiter an Schwung in der Cyber-Bedrohungslandschaft und wird aktiv in Untergrundforen verbreitet. BlackLotus wird im Dark Web als hochgradig ausweichendes UEFI-Bootkit beworben, das eine Reihe von Anti-Virtual Machine-, Anti-Debug- und Verschleierungstechniken umfasst, die von Cyber-Verteidigern sorgfältige Aufmerksamkeit erfordern, um seine Auswirkungen zu mildern. Als primäre Maßnahme zur Minderung der Bedrohung empfehlen Cyber-Verteidiger, Systeme und Sicherheitsprogramme zeitnah auf die neuesten Versionen zu aktualisieren.
Bleiben Sie den Angreifern immer einen Schritt voraus, bevor sie zuschlagen, indem Sie https://socprime.com/. Suchen Sie nach aktuellen und aufkommenden Bedrohungen, und greifen Sie sofort auf relevante Sigma-Regeln zu, die mit ATT&CK abgebildet und mit umfassendem Cyber-Bedrohungskontext angereichert sind, um kontinuierlich die Cybersicherheitslage Ihres Unternehmens zu stärken.