Rilevamento del Bootkit UEFI BlackLotus: Sfrutta CVE-2022-21894 per Bypassare l’Avvio Sicuro UEFI e Disabilita i Meccanismi di Sicurezza del Sistema Operativo
Indice:
Un numero crescente di vulnerabilità di sicurezza dell’Unified Extensible Firmware Interface (UEFI) scoperte negli ultimi anni danno il via libera alle forze offensive per sfruttarle. Nel 2022, il famigerato malware MoonBounce ha causato un grande scalpore nell’arena delle minacce informatiche distribuito tramite il bootkit UEFI. Un altro malware di questo tipo, chiamato BlackLotus, attualmente imperversa in natura, il quale può essere considerato il primo bootkit UEFI altamente evasivo capace di superare significativi meccanismi di sicurezza.
Rilevazione del Bootkit UEFI BlackLotus
Essendo il primissimo malware sfruttato in natura per aggirare il meccanismo di Secure Boot di Microsoft, il bootkit BlackLotus rappresenta una minaccia significativa per i difensori informatici a livello globale. Per rilevare l’attività dannosa associata agli attacchi informatici BlackLotus, la piattaforma Detection as Code di SOC Prime offre un set di regole Sigma rilevanti:
La prima regola del Team SOC Prime identifica la creazione di un file firmware nella directory System32 realizzata da un binary non di sistema che potrebbe essere ulteriormente abusata per scopi dannosi. Il rilevamento è compatibile con oltre 20 piattaforme SIEM, EDR e XDR ed è allineato al framework MITRE ATT&CK® v12, affrontando la tattica di elusione della difesa con Firmware di Sistema (T0857) come tecnica corrispondente.
Possibile Disabilitazione Dell’Integrità Della Memoria Di Isolamento Nucleo (via registry_set)
Questa seconda regola, sviluppata dal nostro esperto sviluppatore Threat Bounty Nattatorn Chuensangarun, rileva la disabilitazione dell’Integrità della Memoria Isolamento Nucleo, noto anche come Hypervisor-protected Code Integrity (HVCI), tramite una configurazione del registro. Il rilevamento è compatibile con oltre 15 piattaforme SIEM, EDR e XDR ed è allineato al framework MITRE ATT&CK® v12, affrontando la tattica di elusione della difesa con Impair Defenses (T1562) e Modifica Registro (T1112) come tecniche corrispondenti.
I ricercatori di minacce aspiranti che cercano modi per contribuire alla difesa informatica collettiva sono invitati a unirsi ai ranghi del Threat Bounty Program iniziativa crowdsourced. Scrivi codice di rilevamento supportato da Sigma e ATT&CK, condividi la tua esperienza con i colleghi del settore e ottieni ricompense per la qualità e la velocità del tuo lavoro migliorando costantemente le tue competenze di Ingegneria del Rilevamento.
Ad oggi, la piattaforma SOC Prime aggrega un lotto di regole di rilevamento per identificare l’attività dannosa associata a malware che abusano della funzionalità UEFI. Premi il pulsante Esplora Rilevamenti per controllare gli algoritmi di rilevamento accompagnati dai riferimenti ATT&CK corrispondenti, collegamenti di threat intelligence e altri metadati rilevanti.
Sfruttamento del Bootkit UEFI BlackLotus CVE-2022-21894: Descrizione dell’Attacco
L’Unified Extensible Firmware Interface (UEFI) è una tecnologia all’avanguardia e una specifica per un programma software, ampiamente utilizzata per facilitare la sequenza di avvio della macchina e connettere il firmware del computer al suo sistema operativo (OS). Negli ultimi anni, le vulnerabilità UEFI sono diventate un richiamo per gli attaccanti che le sfruttano in un’ampia gamma di operazioni offensive. I campioni di malware più popolari distribuiti utilizzando il bootkit UEFI sono LoJax, il primo impianto firmware UEFI in-the-wild, MosaicRegressor e MoonBounce, quest’ultimo essendo un punto di riferimento nell’evoluzione dei rootkit UEFI grazie alle sue capacità sofisticate difficili da rilevare.
Un nuovo bootkit UEFI noto come BlackLotus è stato attivamente distribuito nei forum di hacking dall’autunno del 2022. BlackLotus è il primo bootkit UEFI conosciuto pubblicamente, capace di aggirare una funzionalità di sicurezza significativa, UEFI Secure Boot, e può operare sui sistemi Windows 11 più aggiornati e completamente patchati.
Secondo l’ultimo rapporto della comunità di sicurezza ESET, BlackLotus può rappresentare una minaccia significativa per gli utenti compromessi grazie alla sua capacità di ottenere il pieno controllo sul processo di avvio del OS, che può ulteriormente portare alla disabilitazione delle protezioni di sicurezza critiche del OS e alla diffusione di più payload nelle prime fasi di avvio del OS.
In primo luogo, gli attori delle minacce eseguono un programma di installazione per disabilitare le protezioni di sicurezza del OS e riavviare la macchina compromessa. Successivamente, sfruttano una vulnerabilità del Secure Boot legacy tracciata come CVE-2022-21894, che è ancora sfruttabile nonostante la sua correzione da parte di Microsoft all’inizio del 2022, e quindi registrano la Machine Owner Key dell’avversario per ottenere la persistenza del malware. Altri riavvii ulteriori vedono il BlackLotus installato distribuire un driver kernel per mantenere la persistenza del malware e un componente finale in modalità utente, un downloader HTTP, quest’ultimo incaricato della comunicazione C2 per lanciare payload aggiuntivi sul sistema compromesso.
Il nuovo malware continua a guadagnare slancio nell’arena delle minacce informatiche, essendo attivamente diffuso nei forum clandestini. BlackLotus è pubblicizzato nel dark web come un bootkit UEFI altamente evasivo che incorpora un insieme di tecniche anti-macchina virtuale, anti-debug e di offuscamento, che richiede un’attenzione attenta da parte dei difensori informatici per mitigarne l’impatto. Come misura principale di mitigazione per aiutare le organizzazioni a rimediare alla minaccia, i difensori informatici raccomandano di aggiornare tempestivamente i sistemi e i programmi di sicurezza alle versioni più recenti.
Rimani avanti agli avversari prima che colpiscano sfruttando https://socprime.com/. Cerca le minacce correnti ed emergenti, raggiungi istantaneamente le regole Sigma pertinenti mappate a ATT&CK e arricchite con un contesto completo di minacce informatiche per rafforzare continuamente la postura di cybersecurity della tua organizzazione.