Исходный код зловреда BlackLotus для Windows UEFI выложен на GitHub

Профильные эксперты ИБ сообщили, что исходные коды буткита BlackLotus для Windows UEFI оказались опубликованы на GitHub.

BlackLotus — это ориентированный на Windows буткит UEFI, который обходит безопасную загрузку и антивирусные решения, сохраняется в заражённой системе и выполняет полезные нагрузки с наивысшим уровнем привилегий в ОС.

Возможности инструментария BlackLotus включают нарушение функции защиты данных BitLocker, Microsoft Defender и целостности кода, защищённой гипервизором (HVCI), также известной как функция целостности памяти, которая защищает от попыток использования ядра Windows.

BlackLotus был первым буткитом UEFI, который смог обойти механизм безопасной загрузки и отключить средства защиты на уровне ОС Windows. Первоначально это достигалось за счёт уязвимости Baton Drop (CVE-2022-21894), которую Microsoft исправила в январе 2022 года. Но позже для этого обновления безопасности злоумышленниками были найдены обходные пути.

Это привело к обновлению безопасности для CVE-2023-24932 (ещё один обход функции безопасности загрузки).

Microsoft по умолчанию отключила обновление безопасности для уязвимости CVE-2023-24932, требуя от пользователей Windows выполнить сложную ручную установку для исправления своих систем, что побуждало многих из системных администраторов отказываться от установки патча, оставив устройства корпоративных пользователей уязвимыми для атак обхода безопасной загрузки.

Что касается самого зловредного ПО, то изначально BlackLotus продавался на хакерских форумах за $5 тыс., что позволяло злоумышленникам с любым уровнем подготовки получать доступ к инструментарию, который обычно был в арсенале профессиональных хакеров АРТ. А исходный код BlackLotus всегда оставался в тайне.

Сутки назад исследователи ИБ из Binarly зафиксировали утечку кода инструмента на GitHub, за которой стоял хакер под ником Yukari, решивший сделать инструмент широко доступным для всех.

При этом Yukari пояснил, что исходный код BlackLotus был модифицирован, из него убрана часть Baton Drop и вместо этого туда добавлен руткит UEFI bootlicker, который основан на CosmicStrand, MoonBounce и ESPECTRE UEFI APT.

Таким образом, утекший исходный код не является полным и содержит в основном часть руткита и код буткита для обхода Secure Boot. Данная утечка позволяет злоумышленникам комбинировать буткит с новыми уязвимостями загрузчика, как известными, так и неизвестными.

По мнению экспертов, теперь, когда BlackLotus стал широко доступен, вполне возможно, что разработчики и энтузиасты из даркнета смогут создать более мощные варианты зловреда, делая этот конкретный вектор атаки всё более изощрённым и сложным.

14.07.2023
https://habr.com/ru/news/747914/​