Tra i malware più pericolosi in assoluto ci sono i bootkit, in quanto possono prendere il controllo della sequenza di avvio del sistema operativo e disattivare tutti i meccanismi di protezione. Gli esperti di ESET hanno descritto il funzionamento di BlackLotus, venduto nel dark web a 5.000 dollari. Il malware sfrutta una vecchia vulnerabilità che consente di aggirare il Secure Boot dei firmware UEFI.
BlackLotus è difficile da bloccare
BlackLotus può essere eseguito sui computer con Secure Boot attivo e tutte le patch di sicurezza di Windows 11 installate. Il bootkit è in grado di disattivare Microsoft Defender, BitLocker e HVCI (Hypervisor-protected Code Integrity). Ciò avviene sfruttando la vulnerabilità CVE-2022-21894 che permette di aggirare il Secure Boot. La patch è stata rilasciata l’11 gennaio da Microsoft, ma è sufficiente utilizzare binari firmati non aggiunti alla UEFI revocation list.
Una volta ottenuta la persistenza (esecuzione ad ogni avvio del computer), BlackLotus installa un driver del kernel e un downloader HTTP. Il driver del kernel esegue diverse funzioni, tra cui quella che impedisce la rimozione del bootkit. Il downloader HTTP gestisce invece la connessione con il server C&C (command and control) e può scaricare altri malware.
Il driver inietta il downloader nello spazio degli indirizzi del processo winlogon.exe. Gli autori di BlackLotus hanno usato varie tecniche per impedire l’analisi del codice con strumenti di debugging o macchine virtuali. Tutti i file sono cifrati con crittografia AES a 256 bit. Inoltre le comunicazioni avvengono con protocollo HTTPS e i messaggi inviati dal downloader al server sono cifrati con crittografia RSA.
Ti potrebbe interessare
2 mar 2023