Detecção do Bootkit UEFI BlackLotus: Explora CVE-2022-21894 para Contornar o UEFI Secure Boot e Desativar Mecanismos de Segurança do SO
Índice:
Um número crescente de falhas de segurança na Interface de Firmware Extensível Unificada (UEFI) descobertas nos últimos anos deu luz verde para forças ofensivas explorarem-nas. Em 2022, o infame malware in-the-wild MoonBounce causou um grande alvoroço na arena de ameaças cibernéticas distribuído via bootkit UEFI. Outro malware desse tipo, chamado BlackLotus, atualmente devasta na natureza, podendo ser considerado o primeiro bootkit UEFI altamente evasivo capaz de contornar mecanismos de segurança significativos.
Detectando Bootkit UEFI BlackLotus
Sendo o primeiro malware utilizado in-the-wild para contornar o mecanismo de Inicialização Segura da Microsoft, o bootkit BlackLotus representa uma ameaça significativa para os defensores cibernéticos globalmente. Para detectar a atividade maliciosa associada aos ataques cibernéticos do BlackLotus, a Plataforma de Detecção como Código da SOC Prime oferece um conjunto de regras Sigma relevantes:
A primeira regra da equipe SOC Prime identifica a criação de um arquivo de firmware no diretório System32 feito por um binário não-sistêmico que pode ser mais abusado para propósitos maliciosos. A detecção é compatível com mais de 20 plataformas SIEM, EDR e XDR e está alinhada com o framework MITRE ATT&CK® v12, abordando a tática de Evasão de Defesa com Firmware do Sistema (T0857) como técnica correspondente.
Possível Desativação da Integridade da Memória de Isolamento Central (via registry_set)
Esta segunda regra, desenvolvida pelo nosso experiente desenvolvedor Threat Bounty Nattatorn Chuensangarun, detecta a desativação da Integridade da Memória de Isolamento Central, também conhecida como Integridade de Código Protegida por Hypervisor (HVCI), via configuração de registro. A detecção é compatível com mais de 15 plataformas SIEM, EDR e XDR e está alinhada com a framework MITRE ATT&CK® v12, abordando a tática de Evasão de Defesa com Prejuízo às Defesas (T1562) e Modificação no Registro (T1112) como técnicas correspondentes.
Pesquisadores de ameaças aspirantes que buscam maneiras de contribuir para a defesa cibernética coletiva são bem-vindos para se juntar às fileiras do Programa Threat Bounty iniciativa colaborativa. Escreva código de detecção apoiado por Sigma e ATT&CK, compartilhe sua expertise com pares da indústria e obtenha recompensa pela qualidade e velocidade do seu trabalho enquanto melhora constantemente suas habilidades de Engenharia de Detecção.
Até o momento, a Plataforma SOC Prime agrega um conjunto de regras de detecção para identificar a atividade maliciosa associada a malwares que abusam da funcionalidade UEFI. Clique no botão Explorar Detecções para verificar os algoritmos de detecção acompanhados das referências ATT&CK correspondentes, links de inteligência de ameaças e outros metadados relevantes.
Explorando o Bootkit UEFI BlackLotus CVE-2022-21894: Descrição do Ataque
Interface de Firmware Extensível Unificada (UEFI) é uma tecnologia de ponta e uma especificação para um programa de software, amplamente usado para facilitar a sequência de inicialização da máquina e conectar o firmware do computador ao seu sistema operacional (SO). Nos últimos anos, as vulnerabilidades de UEFI se tornaram um atrativo para atacantes que as utilizam em um amplo espectro de operações ofensivas. Os exemplos de malware mais populares entregues usando o bootkit UEFI são LoJax, o primeiro implante de firmware UEFI in-the-wild, MosaicRegressor, e MoonBounce, este último sendo um marco na evolução do rootkit UEFI devido às suas sofisticadas capacidades difíceis de detectar.
Um novo bootkit UEFI conhecido como BlackLotus tem sido ativamente distribuído em fóruns de hacking desde meados do outono de 2022. BlackLotus é o primeiro bootkit UEFI conhecido publicamente, capaz de contornar uma funcionalidade de segurança significativa, Inicialização Segura UEFI, e pode rodar nos sistemas Windows 11 mais atualizados e totalmente patchados.
De acordo com o último relatório da comunidade de segurança da ESET, o BlackLotus pode representar uma ameaça significativa para os usuários comprometidos devido à sua capacidade de obter controle total sobre o processo de inicialização do SO, o que pode levar a desativar proteções críticas do SO e disseminar múltiplos payloads nas fases iniciais de inicialização do SO.
Primeiro, os atores da ameaça executam um instalador para desativar a proteção de segurança do SO e reiniciar a máquina comprometida. Em seguida, eles instrumentalizam uma vulnerabilidade de Inicialização Segura legada rastreada como CVE-2022-21894, que ainda é explorável independentemente de seu patch implementado pela Microsoft no final de 2022, e então inscrevem a Chave do Proprietário da Máquina do adversário para garantir a persistência do malware. Após novas reinicializações, o BlackLotus instalado implanta um driver de kernel para manter a persistência do malware e um componente final em modo de usuário, um downloader HTTP, esse último responsável pela comunicação C2 para lançar payloads adicionais no sistema comprometido.
O novo malware continua a ganhar impulso na arena da ameaça cibernética, sendo ativamente divulgado em fóruns subterrâneos. BlackLotus é anunciado na dark web como um bootkit UEFI altamente evasivo que envolve um conjunto de técnicas de anti-máquina virtual, anti-debug e ofuscação, que requer atenção cuidadosa dos defensores cibernéticos para mitigar seu impacto. Como medida primária de mitigação para ajudar as organizações a remediar a ameaça, os defensores cibernéticos recomendam atualizar oportunamente o sistema e os programas de segurança para as versões mais recentes.
Fique à frente dos adversários antes que ataquem aproveitando https://socprime.com/. Procure por ameaças atuais e emergentes, alcance instantaneamente as regras Sigma relevantes mapeadas para ATT&CK e enriquecidas com contexto abrangente de ameaça cibernética para fortalecer continuamente a postura de cibersegurança da sua organização.