Detección del bootkit BlackLotus UEFI: Explota CVE-2022-21894 para eludir el arranque seguro UEFI y deshabilita mecanismos de seguridad del sistema operativo
Tabla de contenidos:
Un número creciente de fallos de seguridad de la Interfaz de Firmware Extensible Unificada (UEFI) descubiertos en los últimos años dan luz verde a fuerzas ofensivas para explotarlos. En 2022, el infame en el mundo real malware MoonBounce causó un gran revuelo en el ámbito de ciberamenazas distribuido a través del bootkit UEFI. Otro malware de este tipo, llamado BlackLotus, actualmente arrasa en el mundo real, lo que se puede considerar como el primer bootkit UEFI altamente evasivo capaz de eludir mecanismos de seguridad significativos.
Detección del Bootkit UEFI de BlackLotus
Siendo el primer malware utilizado en el mundo real para eludir el mecanismo de Arranque Seguro de Microsoft, el bootkit BlackLotus representa una amenaza significativa para los defensores cibernéticos a nivel mundial. Para detectar la actividad maliciosa asociada con los ataques cibernéticos de BlackLotus, la plataforma Detection as Code de SOC Prime ofrece un conjunto de reglas Sigma relevantes:
La primera regla del equipo de SOC Prime identifica la creación de un archivo de firmware en el directorio System32 hecho por un binario no del sistema que podría ser utilizado para fines maliciosos. La detección es compatible con más de 20 plataformas SIEM, EDR y XDR y está alineada con el marco MITRE ATT&CK® v12, abordando la táctica de Evasión de Defensa con Firmware del Sistema (T0857) como la técnica correspondiente.
Posible deshabilitación de la integridad de la memoria de aislamiento principal (via registry_set)
Esta segunda regla, desarrollada por nuestro experimentado desarrollador de Threat Bounty Nattatorn Chuensangarun, detecta la desactivación de la Integridad de la Memoria de Aislamiento Principal, también conocida como Integridad de Código Protegida por el Hipervisor (HVCI), mediante una configuración del registro. La detección es compatible con más de 15 plataformas SIEM, EDR y XDR y está alineada con el marco MITRE ATT&CK® v12, abordando la táctica de Evasión de Defensa con Deterioro de Defensas (T1562) y Modificación del Registro (T1112) como las técnicas correspondientes.
Los investigadores de amenazas aspirantes que buscan maneras de contribuir a la defensa cibernética colectiva son bienvenidos a unirse a las filas del Programa Threat Bounty iniciativa de participación colectiva. Escriba códigos de detección respaldados por Sigma y ATT&CK, comparta su experiencia con sus colegas de la industria y obtenga recompensas por la calidad y velocidad de su trabajo al tiempo que mejora constantemente sus habilidades de Ingeniería de Detección.
Hasta la fecha, la plataforma de SOC Prime agrega un conjunto de reglas de detección para identificar la actividad maliciosa asociada con malware que abusa de la funcionalidad UEFI. Haga clic en el botón Explorar Detectores para comprobar los algoritmos de detección acompañados de las referencias correspondientes de ATT&CK, enlaces de inteligencia de amenazas y otros metadatos relevantes.
Bootkit UEFI BlackLotus explotando CVE-2022-21894: Descripción del Ataque
La Interfaz de Firmware Extensible Unificada (UEFI) es una tecnología de vanguardia y una especificación para un programa de software, que se utiliza ampliamente para facilitar la secuencia de arranque de la máquina y conectar el firmware de una computadora con su sistema operativo (OS). En los últimos años, las vulnerabilidades de la UEFI se han convertido en una tentación para los atacantes que las aprovechan en una amplia gama de operaciones ofensivas. Las muestras de malware más populares entregadas utilizando el bootkit UEFI son LoJax, el primer implante de firmware UEFI en el mundo real, MosaicRegressor, y MoonBounce, este último es un hito en la evolución de los rootkits UEFI debido a sus sofisticadas capacidades difíciles de detectar.
Un nuevo bootkit UEFI conocido como BlackLotus ha sido distribuido activamente en foros de hacking desde mediados de otoño de 2022. BlackLotus es el primer bootkit UEFI conocido públicamente, capaz de eludir una funcionalidad de seguridad significativa, UEFI Secure Boot, y puede ejecutarse en los sistemas Windows 11 más actualizados y completamente parcheados.
Según el último informe de la comunidad de seguridad de ESET, BlackLotus puede representar una amenaza significativa para los usuarios comprometidos debido a su capacidad para obtener el control total sobre el proceso de arranque del sistema operativo, lo cual puede llevar a desactivar la protección de seguridad crítica del sistema operativo y dispersar múltiples cargas útiles en las primeras etapas del arranque del sistema operativo.
Primero, los actores de la amenaza ejecutan un instalador para desactivar la protección de seguridad del sistema operativo y reiniciar la máquina comprometida. Luego, utilizan una vulnerabilidad heredada del Secure Boot seguida como CVE-2022-21894, que todavía es explotable a pesar de su parcheo por parte de Microsoft al final de 2022, y luego registran la Clave Propietaria de Máquina del adversario para obtener persistencia del malware. Tras reinicios adicionales, el BlackLotus instalado despliega un controlador de núcleo para retener la persistencia del malware y un componente final en modo usuario, un descargador HTTP, este último encargado de la comunicación C2 para desplegar cargas adicionales en el sistema comprometido.
El nuevo malware continúa ganando impulso en el campo de ciberamenazas, siendo activamente distribuido en foros clandestinos. BlackLotus es anunciado en la web oscura como un bootkit UEFI altamente evasivo que involucra un conjunto de técnicas anti-máquina virtual, anti-depuración y de ofuscación, lo que requiere una atención cuidadosa de los defensores cibernéticos para mitigar su impacto. Como medida de mitigación principal para ayudar a las organizaciones a remediar la amenaza, los defensores cibernéticos recomiendan actualizar oportunamente el sistema y los programas de seguridad a las últimas versiones.
Manténgase por delante de los adversarios antes de que ataquen aprovechando https://socprime.com/. Busque amenazas actuales y emergentes, llegue al instante a las reglas Sigma relevantes mapeadas a ATT&CK y enriquecidas con un contexto de ciberamenazas integral para fortalecer continuamente la postura de ciberseguridad de su organización.