BlackLotus UEFI bootkit 的源代码已在 GitHub 上公开共享,尽管与原始恶意软件相比进行了一些修改。 该 bootkit 专为 Windows 设计,去年 10 月出现在黑客论坛上,宣传其具有 APT 级别的功能,例如安全启动和用户访问控制 (UAC) 绕过以及禁用受害系统上的安全应用程序和防御机制的能力。 BlackLotus 能够保留在固件中,可用于加载未签名的驱动程序,并且已观察到利用 CVE-2022-21894(Windows 中的一个已有一年的漏洞)来禁用安全启动,即使在完全修补的系统上也是如此。 四月份,微软发布了资源来帮助安全研究人员识别 BlackLotus 感染。六月,美国国家安全局发布了指南,帮助组织强化其系统以应对威胁。 周三在 GitHub 上发布的BlackLotus源代码已删除了针对 CVE-2022-21894 的“Baton Drop”漏洞,并使用 bootlicker UEFI 固件 rootkit,但包含原始代码的其余部分。 固件安全公司 Binarly 的首席执行官 Alex Matrosov 表示,Bootkit 源代码的公开可用性存在重大风险,主要是因为它可以与新的漏洞利用相结合并创造新的攻击机会。 “BlackLotus 泄露事件表明,旧的 rootkit 和 bootkit 技巧与新的安全启动绕过漏洞相结合,仍然可以非常有效地蒙蔽许多现代端点安全解决方案(EDR)。”Matrosov 在一封电子邮件评论中告诉SecurityWeek 。 “总的来说,它显示了微软端供应链的复杂性,其中的修复更加语法化,并没有缓解操作系统下的所有相关问题。需要明确的是,BlackLotus 采用了一种已经众所周知的 Baton Drop 漏洞.”他继续说道。 尽管去年修复了 CVE-2022-21894,但 BlackLotus 仍能够利用该漏洞,因为易受攻击的二进制文件未添加到 UEFI 吊销列表中。马特罗索夫指出,这表明即使修补了漏洞也可能“对整个行业的供应链产生长期影响”。 “企业防御者和首席信息安全官需要了解操作系统下方的威胁是明显的,并且会给他们的环境带来危险。由于这种攻击向量对攻击者来说具有显着的好处,因此它只会变得更加复杂。”Matrosov 指出。 |