Pengembang bootkit BlackLotus UEFI telah meningkatkan malware dengan kemampuan bypass Boot Aman yang memungkinkannya menginfeksi bahkan sistem Windows 11 yang telah ditambal sepenuhnya.
BlackLotus adalah contoh publik pertama dari malware UEFI yang dapat menghindari mekanisme Boot Aman, sehingga dapat menonaktifkan perlindungan keamanan yang menyertai sistem operasi.
Malware dapat digunakan untuk mengganggu fitur perlindungan data BitLocker, Microsoft Defender Antivirus, dan Hypervisor-protected Code Integrity (HVCI) – juga dikenal sebagai fitur Integritas Memori yang melindungi dari upaya mengeksploitasi Kernel Windows.
Unified Extensible Firmware Interface (UEFI) adalah perangkat lunak yang menghubungkan sistem operasi dengan perangkat keras yang menjalankannya.
Ini adalah kode tingkat rendah yang dijalankan saat komputer menyala dan menentukan urutan booting sebelum sistem operasi memulai rutinitasnya.
Bootkit komoditas BlackLotus
Malware BlackLotus UEFI muncul tahun lalu dipromosikan di forum peretasan dengan set fitur yang membuatnya hampir tidak terlihat oleh agen antivirus yang dipasang di host yang disusupi.
sumber: KELA
Pengiklan mengatakan bahwa malware hanya membutuhkan 80kb setelah penginstalan dan biaya lisensi adalah $5.000, meskipun pembuatan ulang tersedia hanya dengan $200.
Dalam sebuah laporan minggu ini, peneliti keamanan di ESET mengonfirmasi bahwa malware berfungsi persis seperti yang diiklankan dan dapat melewati mekanisme Boot Aman dengan memanfaatkan kerentanan dari tahun lalu yang dilacak sebagai CVE-2022-21894.
Informasi lebih lanjut tentang mengapa pembaruan keamanan untuk CVE-2022-21894 tidak memblokir malware ini tersedia di bawah.
Penyelidikan mereka dimulai dari pengunduh HTTP yang ternyata merupakan komponen mode pengguna bootkit BlackLotus UEFI, yang berkomunikasi dengan server perintah dan kontrol (C2) dan dapat memuat muatan lain (mode pengguna/kernel).
Rantai infeksi BlackLotus
Peneliti malware ESET Martin Smolár mencatat bahwa serangan dimulai dengan menjalankan penginstal yang menyebarkan file bootkit ke partisi sistem EFI, menonaktifkan perlindungan HVCI dan BitLocker, dan mem-boot ulang host.
Penyerang bergantung pada binari sah yang rentan terhadap CVE-2022-21894 (Windows Hypervisor Loader, Windows Boot Manager, binari PE) dan Data Konfigurasi Boot (BCD) khusus mereka.
Kegigihan pada mesin dengan UEFI Secure Boot diaktifkan dicapai setelah reboot awal dengan mengeksploitasi CVE-2022-21894 dan mendaftarkan Machine Owner Key (MOK) penyerang.
Bootkit UEFI yang ditandatangani sendiri diluncurkan setelah reboot lagi dan driver kernel jahat serta pengunduh HTTP dikerahkan untuk menyelesaikan penginstalan malware.
sumber: ESET
Di antara artefak yang ditemukan dalam kode BlackLotus terdapat referensi ke serial anime Higurashi When They Cry, termasuk nama dua komponen dan penerbit sertifikat yang ditandatangani sendiri untuk biner bootkit.
Referensi lain yang ditinggalkan penulis BlackLotus dalam kode malware adalah string yang tidak digunakan yang mendekripsi menjadi pesan ke analis malware Polandia Aleksandra Doniec.
sumber: ESET
Bug ditambal, risiko keamanan tetap ada
ESET mengatakan bahwa penginstal BlackLotus dapat online atau offline, perbedaan di antara keduanya adalah varian offline membawa binari Windows yang rentan.
Versi online penginstal mengunduh binari Windows “langsung dari toko simbol Microsoft”.
Para peneliti melihat tiga file di bawah ini disalahgunakan oleh bootkit:
- https://msdl.microsoft.com/download/symbols/bootmgfw.efi/7144BCD31C0000/bootmgfw.efi
- https://msdl.microsoft.com/download/symbols/bootmgr.efi/98B063A61BC000/bootmgr.efi
- https://msdl.microsoft.com/download/symbols/hvloader.efi/559F396411D000/hvloader.Efi
Smolár menjelaskan itu mengeksploitasi CVE-2022-21894 adalah apa yang memungkinkan BlackLotus melewati Boot Aman dan membangun ketekunan setelah menonaktifkan HVCI (untuk memuat kode kernel yang tidak ditandatangani) dan BitLocker (untuk memungkinkan modifikasi rantai boot tanpa memicu prosedur pemulihan pada sistem dengan komponen perangkat keras Trusted Platform Module (TPM)):
- Memanfaatkan CVE-2022-21894 untuk memungkinkan melewati Boot Aman dan menginstal bootkit. Kode sewenang-wenang kemudian dapat dieksekusi pada fase boot awal, di mana platform masih dimiliki oleh firmware dan fungsi Layanan Boot UEFI masih tersedia. Hal ini memungkinkan penyerang untuk melakukan banyak hal yang seharusnya tidak dapat mereka lakukan pada mesin dengan UEFI Secure Boot diaktifkan tanpa memiliki akses fisik ke sana, seperti memodifikasi variabel NVRAM khusus layanan Boot. Dan inilah yang dimanfaatkan penyerang untuk menyiapkan persistensi untuk bootkit di langkah berikutnya.
- Menyetel persistensi dengan menulis MOK-nya sendiri ke variabel NVRAM MokList, Boot-services-only. Dengan melakukan ini, ia dapat menggunakan shim bertanda tangan Microsoft yang sah untuk memuat bootkit UEFI yang ditandatangani sendiri (ditandatangani oleh kunci pribadi milik kunci yang ditulis ke MokList) daripada mengeksploitasi kerentanan pada setiap boot.
Untuk dicatat, bukti konsep (PoC) mengeksploitasi kode untuk CVE-2022-21894 telah tersedia untuk umum selama lebih dari setengah tahun, sejak Agustus 2022. Namun, sebagian besar masalah keamanan telah diabaikan.
Microsoft mengatasi kerentanan pada Juni 2022 tidak cukup untuk menutup celah keamanan karena UEFI DBX (daftar pencabutan UEFI) belum diperbarui dengan kunci tidak tepercaya dan hash biner yang digunakan dalam sistem booting yang mengaktifkan Boot Aman.
“Akibatnya, penyerang dapat membawa salinan binari rentan mereka sendiri ke mesin korban untuk mengeksploitasi kerentanan ini dan mem-bypass Secure Boot pada sistem UEFI terbaru” – ESET
Tahun lalu, para peneliti mengungkapkan beberapa kerentanan UEFI [1, 2] yang juga dapat dimanfaatkan untuk menonaktifkan Boot Aman. Namun, beberapa di antaranya masih dapat dieksploitasi karena vendor tidak lagi mendukung perangkat yang terpengaruh, penambalan yang salah, atau tidak menambal sama sekali.
Smolár mengatakan bahwa kegagalan ini pasti akan menarik perhatian aktor ancaman dan mengarah pada pembuatan bootkit UEFI berkemampuan tinggi.
malware UEFI
Bootkit UEFI berada di ujung berlawanan dari malware run-of-the-mill. Itu adalah temuan langka yang terlihat dalam serangan yang dikaitkan dengan aktor ancaman tingkat lanjut yang bekerja atas nama negara-bangsa.
Meskipun bootkit proof-of-concept telah ada sejak 2013 (mis DreamBoot) dan bootloader EFI jahat yang mencegah mesin melakukan booting ditemukan pada tahun 2020, daftar bootkit lengkap yang digunakan dalam serangan dunia nyata sangatlah singkat:
- FinSpy – bagian dari perangkat pengawasan homonim (alias FinFisher, WingBird)
- ESPecter – Windows Boot Manager yang ditambal pada partisi sistem EFI (Extensible Firmware Interface).
- CosmicStrand/Memata-matai Bayangan Trojan – ancaman UEFI yang bersembunyi di gambar firmware motherboard ASUS dan Gigabyte untuk menyebarkan implan tingkat kernel setiap kali mesin Windows yang dikompromikan di-boot
Catatan untuk kategori malware UEFI yang lebih besar, yang juga mencakup rootkit atau implan firmware, tidak jauh lebih besar.
Pada tahun 2018 ESET mengungkap Rootkit LoJax UEFI digunakan oleh peretas Rusia di grup APT28 (Sednit/Fancy Bear/Sofacy).
Dua tahun kemudian, Kaskpersky menerbitkan laporan tentang MosaicRegressor rootkit yang melayani peretas berbahasa Mandarin dalam operasi pencurian data dan spionase pada 2019.
Pada awal 2022, implan firmware UEFI lainnya terungkap. MoonBounce dikaitkan dengan kelompok berbahasa Cina APT41/Winnti.
Namun, BlackLotus adalah bootkit UEFI pertama yang diungkapkan secara publik yang melewati Boot Aman dan dikaitkan dengan dunia penjahat dunia maya.
