🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

BlackLotus, el primer malware que permite evadir el arranque seguro de Windows 11

Los desarrolladores de la herramienta (bootkit) BlackLotus UEFI han mejorado el malware con capacidades de evasión del arranque seguro. Esto le permite infectar incluso sistemas Windows 11 con parches completos.

BlackLotus es el primer ejemplo público de malware UEFI que puede evitar el mecanismo de arranque seguro y, por lo tanto, puede desactivar las protecciones de seguridad que vienen con el sistema operativo.

El malware podría usarse para dañar la función de protección de datos de BitLocker, el antivirus de Microsoft Defender y la Hypervisor-protected Code Integrity (HVCI), también conocida como la función de integridad de la memoria. Esta función protege contra los intentos de explotar el kernel de Windows.

La interfaz de firmware extensible unificada (Unified Extensible Firmware Interface-UEFI) es el software que conecta el sistema operativo con el hardware que lo ejecuta.

Es un código de bajo nivel que se ejecuta cuando la computadora se enciende y dicta la secuencia de arranque antes de que el sistema operativo inicie cualquiera de sus rutinas.

Origen de BlackLotus

El malware BlackLotus UEFI surgió el año pasado promocionado en foros de hackers. Este ofrece un conjunto de funciones que lo hace prácticamente invisible para los agentes antivirus instalados en el host comprometido. 

Bootkit BlakLotus promocionado en un foro de hackers

El anunciante afirmó que el malware ocupa solo 80 kb después de la instalación y que el costo de una licencia es de $5,000, aunque las recompilaciones están disponibles por solo $200.

En un informe de esta semana, los investigadores de seguridad de ESET confirmaron que el malware funciona exactamente como se anuncia. Es decir, puede eludir el mecanismo de arranque seguro aprovechando una vulnerabilidad del año pasado identificada  como CVE-2022-21894 .

A continuación te mostramos más información sobre por qué las actualizaciones de seguridad para CVE-2022-21894 no bloquean este malware.

Su investigación comenzó con un descargador HTTP que resultó ser el componente de modo de usuario de la herramienta BlackLotus UEFI, que se comunica con el servidor de comando y control (C2) y puede cargar otros payloads (modo de usuario/núcleo).

Cadena de infección de BlackLotus

El investigador de malware de ESET,  Martin Smolár,  señaló que el ataque comienza con la ejecución de un instalador que implementa los archivos del bootkit en la partición del sistema EFI, desactiva las protecciones HVCI y BitLocker y reinicia el host.

El atacante se basa en binarios legítimos vulnerables a CVE-2022-21894 (cargador de hipervisor de Windows, administrador de arranque de Windows, binarios PE) y sus datos de configuración de arranque (BCD) personalizados.

La persistencia en las máquinas con arranque seguro UEFI habilitado se logra después del reinicio inicial mediante la explotación de CVE-2022-21894 y el registro de la clave de propietario de la máquina (MOK) del atacante.

El bootkit UEFI autofirmado se inicia después de otro reinicio y el controlador del kernel malicioso y el descargador HTTP se implementan para completar la instalación del malware.

Fuente de flujo de ejecución de BlackLotus

Entre los artefactos descubiertos en el código BlackLotus hay referencias a la serie de anime Higurashi When They Cry, incluidos los nombres de dos componentes y el emisor del certificado autofirmado para el archivo binario del bootkit.

Otra referencia que el autor de BlackLotus dejó en el código del malware está en las cadenas no utilizadas que se descifran en mensajes para la analista de malware polaca Aleksandra Doniec.

Referencias en el código

Vulnerabilidad corregida, el riesgo de seguridad persiste

ESET dice que el instalador de BlackLotus puede estar en línea o sin conexión, la diferencia entre ellos es que las variantes sin  conexión llevan los binarios vulnerables de Windows.

La versión en línea del instalador descarga los binarios de Windows “directamente desde la tienda de Microsoft”.

Los investigadores descubrieron que el bootkit abusaba de los tres archivos mostradps a continuación:

  • https://msdl.microsoft.com/download/symbols/bootmgfw.efi/7144BCD31C0000/bootmgfw.efi
  • https://msdl.microsoft.com/download/symbols/bootmgr.efi/98B063A61BC000/bootmgr.efi
  • https://msdl.microsoft.com/download/symbols/hvloader.efi/559F396411D000/hvloader.Efi

Smolár explicó que explotar CVE-2022-21894 es lo que permite a BlackLotus evadir el Arranque Seguro y  establecer la persistencia  después de deshabilitar  HVCI  (para cargar el código del kernel sin firmar) y  BitLocker (para permitir modificar la cadena de arranque sin activar el procedimiento de recuperación en sistemas con el componente de hardware Trusted Platform Module (TPM)):

  1. Explotación de CVE-2022-21894 para permitir eludir el Arranque Seguro e instalar el bootkit El código arbitrario se puede ejecutar en las primeras fases de arranque, donde la plataforma todavía es propiedad del firmware y las funciones de los servicios de arranque UEFI todavía están disponibles. Esto permite a los atacantes hacer muchas cosas que no deberían poder hacer en una máquina con arranque seguro UEFI habilitado sin tener acceso físico a ella, como modificar las variables NVRAM de solo servicios de arranque. Y esto es lo que aprovechan los atacantes para configurar la persistencia del bootkit en el siguiente paso.
  2. Configuración de la persistencia escribiendo su propio MOK en la variable NVRAM MokList, solo para servicios de arranque. Al hacer esto, puede usar un shim legítimo firmado por Microsoft para cargar su herramienta UEFI autofirmada (firmada por la clave privada que pertenece a la clave escrita en MokList) en lugar de explotar la vulnerabilidad en cada arranque.

PoC

Para tener en cuenta, el código de explotación de prueba de concepto (PoC) para CVE-2022-21894 ha estado disponible públicamente durante más de medio año, desde agosto de 2022. Sin embargo, el problema de seguridad se ha ignorado en gran medida.

Microsoft abordó la vulnerabilidad en junio de 2022. No obstante, no fue suficiente para cerrar la brecha de seguridad porque la UEFI DBX (lista de revocación de UEFI) aún no se ha actualizado con las claves no confiables y los hashes binarios utilizados en los sistemas de arranque que tienen habilitado el Arranque Seguro.

“Como resultado, los atacantes pueden traer sus propias copias de binarios vulnerables a las máquinas de sus víctimas para explotar esta vulnerabilidad y eludir el arranque seguro en los sistemas UEFI actualizados”

–  ESET

El año pasado, los investigadores revelaron múltiples vulnerabilidades UEFI que también podrían aprovecharse para deshabilitar el arranque seguro. Sin embargo, algunas de ellas aún pueden explotarse debido a que los proveedores ya no brindan soporte a los dispositivos afectados, parches incorrectos o sin parches en absoluto.

Smolár dice que estas vulnerabilidades seguramente atraerán la atención de ciberdelincuentes y conducirán a la creación de un bootkit UEFI de alta capacidad.

Software malicioso UEFI

Los bootkits UEFI están en el extremo opuesto del malware común y corriente. Son hallazgos raros vistos en ataques atribuidos a atacantes avanzados que trabajan en nombre de un estado-nación.

Aunque los bootkits de prueba de concepto existen desde 2013 (por ejemplo, DreamBoot) y en 2020 se encontraron cargadores de arranque EFI maliciosos que impedían que la máquina arrancara. La lista de bootkits completos utilizados en ataques del mundo real es increíblemente corta:

  • FinSpy: parte del conjunto de herramientas de vigilancia del mismo nombre (también conocido como FinFisher, WingBird)
  • ESPecter: un administrador de arranque de Windows parcheado en la partición del sistema EFI (interfaz de firmware extensible)
  • Troyano CosmicStrand/Spy Shadow: una amenaza UEFI que se escondía en las imágenes de firmware de las placas base ASUS y Gigabyte para desplegar un implante a nivel de kernel cada vez que se iniciaba la máquina Windows comprometida.

Los registros para la categoría más grande de malware UEFI, que también incluye rootkits o implantes de firmware, no son mucho más grandes.

En 2018, ESET expuso el rootkit LoJax UEFI utilizado por los hackers rusos del grupo APT28 (Sednit/Fancy Bear/Sofacy).

Dos años después, Kaskpersky publicó un informe sobre el  rootkit MosaicRegressor  que sirvió a los hackers de habla china en operaciones de espionaje y robo de datos en 2019.

A principios de 2022, se reveló otro implante de firmware UEFI. MoonBounce  se atribuyó al grupo de habla china APT41/Winnti.

Sin embargo, BlackLotus es el primer bootkit UEFI divulgado públicamente que pasa por alto el arranque seguro y está asociado con el mundo de los ciberdelincuentes.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información