นักวิจัยพบซอร์สโค้ดของมัลแวร์ BlackLotus UEFI bootkit ถูกเผยแพร่ทางออนไลน์ใน GitHub โดยการค้นพบนี้ได้สร้างความกังวลเป็นอย่างมากในหมู่องค์กร รัฐบาล และชุมชนความปลอดภัยทางไซเบอร์ เนื่องจากจะทำให้กลุ่ม Hacker สามารถนำข้อมูลเกี่ยวกับ BlackLotus UEFI bootkit ไปใช้ในการพัฒนาเครื่องมือ และขั้นตอนในการโจมตีต่อไป
BlackLotus เป็น UEFI bootkit ที่มุ่งเป้าหมายไปยัง Windows เพื่อหลบหลีก Secure Boot ที่ถูกติดตั้งใน Windows 11 รวมถึงหลีกเลี่ยงการตรวจจับจากซอฟต์แวร์รักษาความปลอดภัย เช่น Microsoft Defender Antivirus, Hypervisor-protected Code Integrity (HVCI) ซึ่งช่วยป้องกันการพยายามใช้ประโยชน์จาก Kernel ของ Windows และหลีกเลี่ยงคุณสมบัติการป้องกันของ BitLocker data protection เพื่อฝังตัวในระบบเป้าหมาย และเรียกใช้เพย์โหลดด้วยสิทธิ์ระดับสูงสุดในระบบปฏิบัติการ
Windows Secure Boot เป็นคุณลักษณะด้านความปลอดภัยที่ถูกใช้เพื่อป้องกันโปรแกรม bootloader ที่ไม่น่าเชื่อถือบนคอมพิวเตอร์ที่มีเฟิร์มแวร์ Unified Extensible Firmware Interface (UEFI) และชิป Trusted Platform Module (TPM) โดยคุณลักษณะด้านความปลอดภัยนี้มีไว้เพื่อป้องกันไม่ให้ rootkit ถูกโหลดระหว่าง process เริ่มต้น และทำการหลบเลี่ยงการตรวจจับจากแอปพลิเคชันที่ทำงานใน Windows
โดย BlackLotus เป็นการค้นพบครั้งแรกของ UEFI bootkit ที่สามารถหลบเลี่ยง Secure Boot และสามารถปิดการป้องกันความปลอดภัยระดับ OS โดยใช้ช่องโหว่ "Baton Drop" (CVE-2022-21894) ซึ่ง Microsoft แก้ไขไปแล้วในเดือนมกราคม 2022 ซึ่งการที่สามารถหลบเลี่ยงการอัปเดตความปลอดภัย ทำให้ BlackLotus เรียกใช้คำสั่ง catchup โดยถอน Windows Boot Managers ทำให้เกิดช่องโหว่ตามมาในชื่อ CVE-2023-24932 (another Secure Boot Security Feature Bypass) โดยช่องโหว่ดังกล่าวนี้ ทาง Microsoft ปิดใช้งานการอัปเดตความปลอดภัยสำหรับ CVE-2023-24932 มาเป็นค่าเริ่มต้น ทำให้ผู้ใช้งานที่ต้องการแก้ไขช่องโหว่ดังกล่าวจำเป็นต้องทำการตั้งค่าด้วยตนเองที่ใช้เวลานาน และค่อนข้างซับซ้อน เนื่องจากความกังวล และการลอบเร้นของมัลแวร์ BlackLotus ทำให้ปัจจุบัน Microsoft และ NSA ได้จัดทำคู่มือแนะนำในการตรวจจับ และลบ bootkit ออกจาก Windows
ซอร์สโค้ดของ BlackLotus ถูกเผยแพร่
แต่เดิมซอร์สโค้ดของ BlackLotus Windows UEFI ได้ถูกวางขายบน Hacker forums ในราคา 5,000 ดอลลาร์ ทำให้ Hacker ทุกกลุ่มสามารถเข้าถึงได้ รวมถึงหากต้องการปรับแต่ง bootkit ให้เข้ากับการโจมตี ก็สามารถทำได้โดยการจายเพิ่มในราคา 200 ดอลลาร์
ล่าสุด Binarly บริษัทรักษาความปลอดภัย ได้เปิดเผยข้อมูลกับ BleepingComputer ว่าได้พบซอร์สโค้ดของ BlackLotus Windows UEFI malware ถูกเผยแพร่ใน GitHub โดยผู้ใช้งานที่ชื่อ 'Yukari' ทำให้ Hacker ทั่ว ๆ ไป สามารถดาวน์โหลดไปใช้งานได้ ทั้งนี้ Yukari กล่าวว่าซอร์สโค้ดดังกล่าวได้รับการแก้ไขเพื่อลบช่องโหว่ Baton Drop และใช้ bootlicker UEFI rootkit แทน ซึ่งอ้างอิงจาก CosmicStrand, MoonBounce และ ESPECTRE UEFI APT rootkit
โดย Binarly กังวัลว่าการที่ซอร์สโค้ดของ BlackLotus ได้ถูกนำมาเผยแพร่ จะทำให้กลุ่ม Hacker จำนวนมากสามารถนำข้อมูลเกี่ยวกับ BlackLotus UEFI bootkit ไปใช้ในการพัฒนาเครื่องมือ และขั้นตอนในการโจมตีต่อไป
ที่มา : bleepingcomputer
You must be logged in to post a comment.