馃槑 60% Descuento:  Curso de Hacking Redes Inal谩mbricas >> Ver M谩s

BlackLotus, el primer malware que permite evadir el arranque seguro de Windows 11

Los desarrolladores de la herramienta (bootkit) BlackLotus UEFI han mejorado el malware con capacidades de evasi贸n del arranque seguro. Esto le permite infectar incluso sistemas Windows 11 con parches completos.

BlackLotus es el primer ejemplo p煤blico de malware UEFI que puede evitar el mecanismo de arranque seguro y, por lo tanto, puede desactivar las protecciones de seguridad que vienen con el sistema operativo.

El malware podr铆a usarse para da帽ar la funci贸n de protecci贸n de datos de BitLocker, el antivirus de Microsoft Defender y la Hypervisor-protected Code Integrity (HVCI), tambi茅n conocida como la funci贸n de integridad de la memoria. Esta funci贸n protege contra los intentos de explotar el kernel de Windows.

La interfaz de firmware extensible unificada (Unified Extensible Firmware Interface-UEFI) es el software que conecta el sistema operativo con el hardware que lo ejecuta.

Es un c贸digo de bajo nivel que se ejecuta cuando la computadora se enciende y dicta la secuencia de arranque antes de que el sistema operativo inicie cualquiera de sus rutinas.

Origen de BlackLotus

El malware BlackLotus UEFI surgi贸 el a帽o pasado promocionado en foros de hackers. Este ofrece un conjunto de funciones que lo hace pr谩cticamente invisible para los agentes antivirus instalados en el host comprometido. 

Bootkit BlakLotus promocionado en un foro de hackers

El anunciante afirm贸 que el malware ocupa solo 80 kb despu茅s de la instalaci贸n y que el costo de una licencia es de $5,000, aunque las recompilaciones est谩n disponibles por solo $200.

En un informe de esta semana, los investigadores de seguridad de ESET confirmaron que el malware funciona exactamente como se anuncia. Es decir, puede eludir el mecanismo de arranque seguro aprovechando una vulnerabilidad del a帽o pasado identificada  como CVE-2022-21894 .

A continuaci贸n te mostramos m谩s informaci贸n sobre por qu茅 las actualizaciones de seguridad para CVE-2022-21894 no bloquean este malware.

Su investigaci贸n comenz贸 con un descargador HTTP que result贸 ser el componente de modo de usuario de la herramienta BlackLotus UEFI, que se comunica con el servidor de comando y control (C2) y puede cargar otros payloads (modo de usuario/n煤cleo).

Cadena de infecci贸n de BlackLotus

El investigador de malware de ESET,  Martin Smol谩r,  se帽al贸 que el ataque comienza con la ejecuci贸n de un instalador que implementa los archivos del bootkit en la partici贸n del sistema EFI, desactiva las protecciones HVCI y BitLocker y reinicia el host.

El atacante se basa en binarios leg铆timos vulnerables a CVE-2022-21894 (cargador de hipervisor de Windows, administrador de arranque de Windows, binarios PE) y sus datos de configuraci贸n de arranque (BCD) personalizados.

La persistencia en las m谩quinas con arranque seguro UEFI habilitado se logra despu茅s del reinicio inicial mediante la explotaci贸n de CVE-2022-21894 y el registro de la clave de propietario de la m谩quina (MOK) del atacante.

El bootkit UEFI autofirmado se inicia despu茅s de otro reinicio y el controlador del kernel malicioso y el descargador HTTP se implementan para completar la instalaci贸n del malware.

Fuente de flujo de ejecuci贸n de BlackLotus

Entre los artefactos descubiertos en el c贸digo BlackLotus hay referencias a la serie de anime Higurashi When They Cry, incluidos los nombres de dos componentes y el emisor del certificado autofirmado para el archivo binario del bootkit.

Otra referencia que el autor de BlackLotus dej贸 en el c贸digo del malware est谩 en las cadenas no utilizadas que se descifran en mensajes para la analista de malware polaca Aleksandra Doniec.

Referencias en el c贸digo

Vulnerabilidad corregida, el riesgo de seguridad persiste

ESET dice que el instalador de BlackLotus puede estar en l铆nea o sin conexi贸n, la diferencia entre ellos es que las variantes sin  conexi贸n llevan los binarios vulnerables de Windows.

La versi贸n en l铆nea del instalador descarga los binarios de Windows “directamente desde la tienda de Microsoft”.

Los investigadores descubrieron que el bootkit abusaba de los tres archivos mostradps a continuaci贸n:

  • https://msdl.microsoft.com/download/symbols/bootmgfw.efi/7144BCD31C0000/bootmgfw.efi
  • https://msdl.microsoft.com/download/symbols/bootmgr.efi/98B063A61BC000/bootmgr.efi
  • https://msdl.microsoft.com/download/symbols/hvloader.efi/559F396411D000/hvloader.Efi

Smol谩r explic贸 que explotar CVE-2022-21894 es lo que permite a BlackLotus evadir el Arranque Seguro y  establecer la persistencia  despu茅s de deshabilitar  HVCI  (para cargar el c贸digo del kernel sin firmar) y  BitLocker (para permitir modificar la cadena de arranque sin activar el procedimiento de recuperaci贸n en sistemas con el componente de hardware Trusted Platform Module (TPM)):

  1. Explotaci贸n de CVE-2022-21894 para permitir eludir el Arranque Seguro e instalar el bootkit El c贸digo arbitrario se puede ejecutar en las primeras fases de arranque, donde la plataforma todav铆a es propiedad del firmware y las funciones de los servicios de arranque UEFI todav铆a est谩n disponibles. Esto permite a los atacantes hacer muchas cosas que no deber铆an poder hacer en una m谩quina con arranque seguro UEFI habilitado sin tener acceso f铆sico a ella, como modificar las variables NVRAM de solo servicios de arranque. Y esto es lo que aprovechan los atacantes para configurar la persistencia del bootkit en el siguiente paso.
  2. Configuraci贸n de la persistencia escribiendo su propio MOK en la variable NVRAM MokList, solo para servicios de arranque. Al hacer esto, puede usar un shim leg铆timo firmado por Microsoft para cargar su herramienta UEFI autofirmada (firmada por la clave privada que pertenece a la clave escrita en MokList) en lugar de explotar la vulnerabilidad en cada arranque.

PoC

Para tener en cuenta, el c贸digo de explotaci贸n de prueba de concepto (PoC) para CVE-2022-21894 ha estado disponible p煤blicamente durante m谩s de medio a帽o, desde agosto de 2022. Sin embargo, el problema de seguridad se ha ignorado en gran medida.

Microsoft abord贸 la vulnerabilidad en junio de 2022. No obstante, no fue suficiente para cerrar la brecha de seguridad porque la UEFI DBX (lista de revocaci贸n de UEFI) a煤n no se ha actualizado con las claves no confiables y los hashes binarios utilizados en los sistemas de arranque que tienen habilitado el Arranque Seguro.

鈥淐omo resultado, los atacantes pueden traer sus propias copias de binarios vulnerables a las m谩quinas de sus v铆ctimas para explotar esta vulnerabilidad y eludir el arranque seguro en los sistemas UEFI actualizados鈥

–  ESET

El a帽o pasado, los investigadores revelaron m煤ltiples vulnerabilidades UEFI que tambi茅n podr铆an aprovecharse para deshabilitar el arranque seguro. Sin embargo, algunas de ellas a煤n pueden explotarse debido a que los proveedores ya no brindan soporte a los dispositivos afectados, parches incorrectos o sin parches en absoluto.

Smol谩r dice que estas vulnerabilidades seguramente atraer谩n la atenci贸n de ciberdelincuentes y conducir谩n a la creaci贸n de un bootkit UEFI de alta capacidad.

Software malicioso UEFI

Los bootkits UEFI est谩n en el extremo opuesto del malware com煤n y corriente. Son hallazgos raros vistos en ataques atribuidos a atacantes avanzados que trabajan en nombre de un estado-naci贸n.

Aunque los bootkits de prueba de concepto existen desde 2013 (por ejemplo, DreamBoot) y en 2020 se encontraron cargadores de arranque EFI maliciosos que imped铆an que la m谩quina arrancara. La lista de bootkits completos utilizados en ataques del mundo real es incre铆blemente corta:

  • FinSpy: parte del conjunto de herramientas de vigilancia del mismo nombre (tambi茅n conocido como FinFisher, WingBird)
  • ESPecter: un administrador de arranque de Windows parcheado en la partici贸n del sistema EFI (interfaz de firmware extensible)
  • Troyano CosmicStrand/Spy Shadow: una amenaza UEFI que se escond铆a en las im谩genes de firmware de las placas base ASUS y Gigabyte para desplegar un implante a nivel de kernel cada vez que se iniciaba la m谩quina Windows comprometida.

Los registros para la categor铆a m谩s grande de malware UEFI, que tambi茅n incluye rootkits o implantes de firmware, no son mucho m谩s grandes.

En 2018, ESET expuso el rootkit LoJax UEFI utilizado por los hackers rusos del grupo APT28 (Sednit/Fancy Bear/Sofacy).

Dos a帽os despu茅s, Kaskpersky public贸 un informe sobre el  rootkit MosaicRegressor  que sirvi贸 a los hackers de habla china en operaciones de espionaje y robo de datos en 2019.

A principios de 2022, se revel贸 otro implante de firmware UEFI. MoonBounce  se atribuy贸 al grupo de habla china APT41/Winnti.

Sin embargo, BlackLotus es el primer bootkit UEFI divulgado p煤blicamente que pasa por alto el arranque seguro y est谩 asociado con el mundo de los ciberdelincuentes.

Deja un comentario

Adquiere tu Membres铆a Anual Wiser

Adquiere tu Membres铆a Anual Wiser y adquiere grandes beneficios

M谩s informaci贸n