Détection du Bootkit UEFI BlackLotus : Exploite CVE-2022-21894 pour Contourner le Secure Boot UEFI et Désactiver les Mécanismes de Sécurité de l’OS
Table des matières :
Un nombre croissant de failles de sécurité de l’interface micrologicielle extensible unifiée (UEFI) découvertes ces dernières années donne le feu vert aux forces offensives pour les exploiter. En 2022, le célèbre malware MoonBounce a provoqué un énorme émoi dans le monde des menaces cybernétiques, distribué via le bootkit UEFI. Un autre malware de ce type, appelé BlackLotus, sévit actuellement dans la nature, considéré comme le tout premier bootkit UEFI hautement évasif capable de contourner d’importants mécanismes de sécurité.
Détection du bootkit UEFI BlackLotus
En étant le tout premier malware utilisé dans la nature pour contourner le mécanisme de démarrage sécurisé de Microsoft, le bootkit BlackLotus pose une menace significative aux défenseurs cybernétiques dans le monde entier. Pour détecter les activités malveillantes associées aux attaques du BlackLotus, la plateforme Detection as Code de SOC Prime propose un ensemble de règles Sigma pertinentes :
La première règle de l’équipe SOC Prime identifie la création d’un fichier de microprogramme dans le répertoire System32 par un binaire non-système pouvant être ultérieurement abusé à des fins malveillantes. La détection est compatible avec plus de 20 plateformes SIEM, EDR et XDR et est alignée avec le cadre MITRE ATT&CK® v12, abordant la tactique d’évasion de défense avec le microprogramme système (T0857) comme technique correspondante.
Désactivation possible de l’intégrité de la mémoire d’isolation de base (via registry_set)
Cette deuxième règle, développée par notre développeur chevronné Threat Bounty Nattatorn Chuensangarun, détecte la désactivation de l’intégrité de la mémoire d’isolation de base, également connue sous le nom d’intégrité du code protégée par l’hyperviseur (HVCI), via un réglage du registre. La détection est compatible avec plus de 15 plateformes SIEM, EDR et XDR et est alignée avec le cadre MITRE ATT&CK® v12, abordant la tactique d’évasion de défense avec l’affaiblissement des défenses (T1562) et la modification du registre (T1112) comme techniques correspondantes.
Les chercheurs en menaces en herbe cherchant des moyens de contribuer à la défense cybernétique collective sont invités à rejoindre les rangs du Programme Threat Bounty . Écrivez du code de détection basé sur Sigma et ATT&CK, partagez votre expertise avec vos pairs de l’industrie et obtenez une prime pour la qualité et la rapidité de votre travail tout en améliorant constamment vos compétences en ingénierie de détection.
À ce jour, la plateforme SOC Prime agrège un ensemble de règles de détection pour identifier l’activité malveillante associée aux malwares abusant de la fonctionnalité UEFI. Cliquez sur le Explorez les détections bouton pour vérifier les algorithmes de détection accompagnés des références ATT&CK correspondantes, liens d’intelligence sur la menace, et d’autres métadonnées pertinentes.
Bootkit UEFI BlackLotus exploitant CVE-2022-21894 : Description de l’attaque
L’interface micrologicielle extensible unifiée (UEFI) est une technologie de pointe et une spécification pour un programme logiciel, largement utilisé pour faciliter la séquence de démarrage de la machine et connecter le micrologiciel de l’ordinateur à son système d’exploitation (OS). Ces dernières années, les vulnérabilités UEFI sont devenues un appât pour les attaquants les exploitant dans un large éventail d’opérations offensives. Les échantillons de malware les plus populaires livrés en utilisant le bootkit UEFI sont LoJax, le premier implant UEFI dans la nature, MosaicRegressor, et MoonBounce, ce dernier étant une étape marquante dans l’évolution des rootkits UEFI en raison de ses capacités sophistiquées difficiles à détecter.
Un nouveau bootkit UEFI connu sous le nom de BlackLotus est activement distribué sur les forums de hacking depuis la mi-automne 2022. BlackLotus est le premier bootkit UEFI publiquement connu capable de contourner une fonctionnalité de sécurité significative, UEFI Secure Boot, et peut fonctionner sur les systèmes Windows 11 les plus récents, entièrement corrigés.
Selon le dernier rapport de la communauté de sécurité ESET, BlackLotus peut poser une menace significative aux utilisateurs compromis en raison de sa capacité à prendre le contrôle total du processus de démarrage de l’OS, ce qui peut entraîner la désactivation de la protection critique de l’OS et la propagation de multiples charges utiles aux premiers stades de démarrage de l’OS.
D’abord, les acteurs de la menace exécutent un installateur pour désactiver la protection de sécurité de l’OS et redémarrer la machine compromise. Ensuite, ils arment une vulnérabilité de Secure Boot héritée appelée CVE-2022-21894, qui est toujours exploitable malgré la correction par Microsoft au début de 2022, puis enregistrent la clé propriétaire de la machine de l’adversaire pour obtenir la persistance du malware. Lors des redémarrages ultérieurs, le BlackLotus installé déploie un pilote de noyau pour conserver la persistance du malware et un composant en mode utilisateur final, un téléchargeur HTTP, ce dernier étant chargé de la communication C2 pour déployer des charges utiles supplémentaires sur le système compromis.
Le nouveau malware continue de gagner en ampleur dans le monde des menaces cybernétiques, étant activement diffusé sur des forums clandestins. BlackLotus est annoncé sur le dark web comme un bootkit UEFI hautement évasif impliquant un ensemble de techniques anti-machine-virtuelle, anti-débogage et d’obfuscation, nécessitant une attention particulière de la part des défenseurs cybernétiques pour atténuer son impact. Comme mesure de mitigation principale pour aider les organisations à remédier à la menace, les défenseurs cybernétiques recommandent de mettre à jour en temps opportun le système et les programmes de sécurité vers les dernières versions.
Restez en avance sur les adversaires avant qu’ils ne frappent en utilisant https://socprime.com/. Recherchez les menaces actuelles et émergentes, accédez instantanément aux règles Sigma pertinentes mappées sur ATT&CK et enrichies avec un contexte complet de menaces cybernétiques pour renforcer continuellement la posture de cybersécurité de votre organisation.