來(lái)自 ESET 的安全研究人員近日發(fā)現(xiàn)了一種劫持 UEFI 的惡意軟件，并將其命名為 BlackLotus。該惡意軟件被認(rèn)為是首個(gè)可以在 Win11 系統(tǒng)上繞過(guò) Secure Boot 的 UEFI bootkit 惡意軟件。

設(shè)備一旦感染該惡意軟件，就會(huì)在 Win11 系統(tǒng)中禁用 Defender、Bitlocker 和 HVCI 等防病毒軟件。該惡意軟件最早可以追溯到 2022 年 10 月，在黑客論壇上以 5000 美元的價(jià)格出售。

BlackLotus 利用存在一年多的安全漏洞（CVE-2022-21894）繞過(guò) UEFI 安全啟動(dòng)并將自身永久嵌入計(jì)算機(jī)中。

ESET說(shuō)，BlackLotus安裝程序可以是在線或離線的，它們之間的區(qū)別是，離線變體攜帶有漏洞的Windows二進(jìn)制文件；在線版本的安裝程序 直接從微軟商店 下載Windows二進(jìn)制文件。

研究人員看到以下三個(gè)文件被bootkit所濫用。

• https://msdl.microsoft.com/download/symbols/bootmgfw.efi/7144BCD31C0000/bootmgfw.efi
• https://msdl.microsoft.com/download/symbols/bootmgr.efi/98B063A61BC000/bootmgr.efi
• https://msdl.microsoft.com/download/symbols/hvloader.efi/559F396411D000/hvloader.Efi

Smolár解釋說(shuō)，利用CVE-2022-21894，允許繞過(guò)安全啟動(dòng)并安裝引導(dǎo)工具包。然后可以在早期啟動(dòng)階段執(zhí)行任意代碼，此時(shí)UEFI啟動(dòng)服務(wù)功能仍然可用。這允許攻擊者在沒(méi)有物理訪問(wèn)的情況下，在啟用了UEFI安全啟動(dòng)的機(jī)器上做許多他們不應(yīng)該做的事情，比如修改只有Boot-services的NVRAM變量。而這正是攻擊者在下一步為bootkit設(shè)置持久性的優(yōu)勢(shì)所在。

通過(guò)向MokList、Boot-services-only NVRAM變量寫(xiě)入它自己的MOK來(lái)設(shè)置持久性。通過(guò)這樣做，它可以使用合法的微軟簽名的墊片來(lái)加載其自簽名（由屬于寫(xiě)入MokList的密鑰的私鑰簽名）的UEFI啟動(dòng)包，而不是在每次啟動(dòng)時(shí)利用漏洞。

要注意的是，CVE-2022-21894的概念驗(yàn)證（PoC）利用代碼自2022年8月以來(lái)已經(jīng)公開(kāi)提供了半年多的時(shí)間。雖然微軟已經(jīng)在 2022 年 1 月發(fā)布更新修復(fù)了該漏洞，但由于受影響的、有效簽名的安裝文件仍未添加到 UEFI 鎖定列表中，因此攻擊者依然可以利用該漏洞。

參考鏈接：https://www.bleepingcomputer.com/news/security/blacklotus-bootkit-bypasses-uefi-secure-boot-on-patched-windows-11/