Computer hackerato | Envato Elements - Alanews.it
Acquistabile sul black market per 5.000 dollari e di una pericolosità estrema
Un bootkit invisibile, chiamato BlackLotus, è diventato il primo malware noto pubblicamente, in grado di aggirare le difese Secure Boot del sistema UEFI (Unified Extensible Firmware Interface). Questo lo rende una potente minaccia nel panorama informatico, poiché può essere eseguito su sistemi Windows 11 completamente aggiornati con UEFI Secure Boot abilitato.
I Bootkit UEFI sono impiantati nel firmware di sistema e permettono il completo controllo del processo di avvio del sistema operativo, rendendo possibile la disattivazione dei meccanismi di sicurezza a livello OS e l’installazione di payload arbitrari durante l’avvio, con privilegi elevati.
Il toolkit è disponibile all’acquisto per 5.000 dollari ed è caratterizzato dalla sua potenza e persistenza. È stato programmato in Assembly e C e ha una dimensione di 80 kilobyte. Inoltre, dispone di funzionalità di geofencing per evitare l’infezione di computer presenti in Armenia, Bielorussia, Kazakistan, Moldavia, Romania, Russia e Ucraina.
Nell’ottobre 2022, sono emersi i primi dettagli su BlackLotus.
Questo crimeware, rappresenta un notevole balzo in avanti in termini di facilità d’uso, scalabilità, accessibilità e, soprattutto, potenziale impatto, grazie alla sua capacità di persistenza, evasione e distruzione.
BlackLotus sfrutta la vulnerabilità di sicurezza nota come CVE-2022-21894, anche chiamata Baton Drop, per aggirare le protezioni di UEFI Secure Boot e impostare la persistenza. Microsoft ha risolto la vulnerabilità nell’aggiornamento Patch Tuesday di gennaio 2022.
Sfruttare con successo questa vulnerabilità, consente l’esecuzione di codice arbitrario durante le prime fasi di avvio, consentendo a un attore malevolo di eseguire azioni dannose su un sistema con UEFI Secure Boot abilitato, senza dover accedere fisicamente al sistema.
Questa è la prima volta che si ha notizia pubblica di un abuso in-the-wild di questa vulnerabilità. Lo sfruttamento della vulnerabilità è ancora possibile in quanto i file binari interessati, pur essendo validamente firmati, non sono ancora stati aggiunti all’elenco di revoca di UEFI. BlackLotus sfrutta questa vulnerabilità, portando i propri binari legittimi ma vulnerabili nel sistema, aprendo così la strada ad attacchi Bring Your Own Vulnerable Driver (BYOVD).
BlackLotus è progettato non solo per disattivare meccanismi di sicurezza come BitLocker, Hypervisor-protected Code Integrity (HVCI) e Windows Defender, ma anche per rimuovere un driver del kernel e un downloader HTTP che comunica con un server di comando e controllo (C2) per recuperare malware aggiuntivo, sia in modalità utente che in modalità kernel. Anche se il metodo esatto utilizzato per distribuire il bootkit è ancora sconosciuto, si sa che inizia con un componente di installazione che è responsabile della scrittura di file nella partizione di sistema EFI, della disabilitazione di HVCI e BitLocker, e infine del riavvio dell’host.
Dopo il riavvio dell’host, il bootkit BlackLotus sfrutta CVE-2022-21894 per ottenere la persistenza e installare il driver del kernel. Il driver, una volta installato, avvia un downloader HTTP in modalità utente e un payload in modalità kernel next-stage. Il downloader è in grado di eseguire i comandi ricevuti dal server C2 tramite HTTPS, inclusi il download e l’esecuzione di un driver del kernel, DLL o un normale eseguibile. Inoltre, può recuperare gli aggiornamenti del bootkit e persino disinstallare il bootkit dal sistema infetto. Il driver del bootkit è anche progettato per disattivare meccanismi di sicurezza come BitLocker, Hypervisor-protected Code Integrity (HVCI) e Windows Defender, nonché per eliminare un driver del kernel. Sebbene non sia noto l’esatto metodo di distribuzione del bootkit, il processo inizia con un componente di installazione che scrive i file nella partizione di sistema EFI, disabilita HVCI e BitLocker e riavvia il sistema.
Purtroppo, a causa della complessità dell’intero ecosistema UEFI e dei relativi problemi di supply-chain, molte vulnerabilità sono state risolte solo dopo molto tempo, lasciando molti sistemi vulnerabili.
Era inevitabile che qualcuno sfruttasse queste lacune e creasse un bootkit UEFI in grado di funzionare su sistemi con UEFI Secure Boot abilitato.
Autore: Marco Marra
M5S, Conte: "Su Netanyahu siamo stati chiari, il mandato va eseguito" "Nova passaggio fondamentale nella…
Nova, Conte: "Noi siamo progressisti, significa applicare la costituzione" "Sulla regola del doppio mandato si…
Cori e insulti davanti alla sede Pro Vita durante corteo Non una di Meno Un…
Il mondo al contrario, Alemanno: "La nuova parola chiave è sovranismo sociale" L'ex ministro: "Vannacci…
Donne, Non una di meno: "A Roma siamo 150 mila" Mentre passano al Colosseo Politica…
Un murales per i 40 anni di Ciro Esposito: Napoli ricorda il tifoso ucciso a…