BlackLotus UEFIブートキット検出: CVE-2022-21894を利用してUEFIセキュアブートを回避しOSのセキュリティメカニズムを無効化

過去数年間に明らかになった統合拡張可能ファームウェアインターフェース（UEFI）のセキュリティ欠陥の増加により、攻撃勢力がそれらを悪用することができるようになっています。2022年には、野生の中で悪名高い MoonBounceマルウェア が、UEFIブートキットを介して配布され、サイバー脅威の分野で大きな騒ぎを引き起こしました。同様の種類のもう一つのマルウェア、BlackLotusは現在野生で猛威を振るっており、重要なセキュリティメカニズムをバイパスできる、初めての非常に回避しづらいUEFIブートキットと考えられています。

BlackLotus UEFI ブートキットの検出

MicrosoftのSecurity Bootメカニズムをバイパスするために野生で活用された最初のマルウェアであるBlackLotusブートキットは、世界的にサイバー防護者にとって大きな脅威となっています。BlackLotusのサイバー攻撃に関連する悪意のある活動を検出するために、SOC PrimeのDetection as Codeプラットフォームは関連するSigmaルールのセットを提供しています：

非システムプロセスによりシステムディレクトリにファームウェアファイルが作成された可能性 (file_event経由)

SOC Primeチームによる最初のルールは、システムバイナリではないものでシステム32ディレクトリにファームウェアファイルが作成され、それがさらに悪意のある目的で悪用される可能性があることを識別します。検出は20以上のSIEM、EDR、XDRプラットフォームと互換性があり、 MITRE ATT&CK®フレームワーク v12に対応し、システムファームウェア（T0857）を用いた防御回避戦術に対応しています。

コアアイソレーションメモリ保護の無効化の可能性 (registry_set経由)

弊社の経験豊富なThreat Bounty開発者 Nattatorn Chuensangarunによって開発されたこの2番目のルールは、レジストリ設定を介してHypervisor-protected Code Integrity（HVCI）としても知られるコアアイソレーションメモリ保護を無効化することを検出します。検出は15以上のSIEM、EDR、XDRプラットフォームと互換性があり、 MITRE ATT&CK®フレームワーク v12に対応し、防御回避戦術をImpair Defenses（T1562）およびModify Registry（T1112）として対応しています。

集合的サイバー防御に貢献する方法を探している意欲的な脅威研究者は、 Threat Bounty Program のクラウドソーシングイニシアティブに参加することが歓迎されています。SigmaおよびATT&CKによってサポートされる検出コードを記述し、業界の同業者と専門知識を共有し、作業の質とスピードに応じて報奨金を得ながら、継続的に検知エンジニアリングスキルを向上させます。

今日まで、SOC PrimeプラットフォームはUEFI機能を悪用するマルウェアに関連する悪意のある活動を特定するための一連の検出ルールを集約しています。対応するATT&CKリファレンス、脅威インテリジェンスリンク、その他の関連メタデータと共に Explore Detections ボタンをクリックして検出アルゴリズムを確認してください。

Explore Detections

CVE-2022-21894を悪用するBlackLotus UEFIブートキット：攻撃の説明

統合拡張可能ファームウェアインターフェース（UEFI）は、マシンのブートシーケンスを容易にし、コンピュータのファームウェアをオペレーティングシステム（OS）と接続するために広く使用されている最先端技術およびソフトウェアプログラムの仕様です。近年、UEFIの脆弱性は攻撃者がさまざまな攻撃操作で活用する誘惑の的となっています。UEFIブートキットを使用して配布される最も人気のあるマルウェアサンプルは、野生で最初のUEFIファームウェアイムプラントであるLoJax、MosaicRegressor、および MoonBounceであり、後者は検出が難しい洗練された機能のためUEFIルートキットの進化における画期的な存在です。

BlackLotusとして知られる新しいUEFIブートキットは2022年の秋中頃からハッキングフォーラムで積極的に配布されています。BlackLotusは、顕著なセキュリティ機能であるUEFIセキュアブートをバイパスできることが広く知られている最初のUEFIブートキットであり、最新の完全にパッチが適用されたWindows 11システム上で動作します。

最新の ESETセキュリティコミュニティによるレポートによると、BlackLotusはOSブートプロセスを完全に制御できる能力があるため、侵害されたユーザーにとって大きな脅威をもたらす可能性があり、これにより重要なOSセキュリティ保護を無効にし、OSの初期起動段階で複数のペイロードを拡散させることができます。

まず、脅威アクターはインストーラーを実行してOSセキュリティ保護を無効にし、侵害されたマシンを再起動します。その後、2022年の初めにMicrosoftによりパッチが適用されたにもかかわらず依然として攻撃可能なレガシーセキュアブート脆弱性として追跡される CVE-2022-21894を武器化し、敵対者のマシンオーナーキーを登録してマルウェアの持続性を得ます。さらなる再起動の際、インストールされたBlackLotusはカーネルドライバーを展開してマルウェアの持続性を保持し、最終的なユーザーモードコンポーネントであるHTTPダウンローダーを展開し、これはC2コミュニケーションを担当し、侵害されたシステムに追加のペイロードをドロップします。

この新しいマルウェアはサイバー脅威の分野で積極的に広まり続けており、地下フォーラムで活発に広められています。BlackLotusは、アンチバーチャルマシン、アンチデバッグ、および難読化技術のセットを含む非常に回避しづらいUEFIブートキットとしてダークウェブで宣伝されており、その影響を軽減するためにサイバー防御者による慎重な注意が必要です。脅威の軽減のための主要な対策として、サイバー防御者はシステムとセキュリティプログラムを最新バージョンに迅速にアップグレードすることを推奨しています。

敵が攻撃する前に優位に立つには、 https://socprime.com/ を活用してください。現在および新たに出現する脅威を検索し、ATT&CKにマッピングされ、包括的なサイバー脅威のコンテキストで強化された関連するSigmaルールに即座にアクセスして、組織のサイバーセキュリティ態勢を継続的に強化してください。