Bootkit Unified Extensible Firmware Interface (UEFI) sembunyi-sembunyi yang disebut BlackLotus telah menjadi malware pertama yang diketahui publik yang mampu melewati pertahanan Boot Aman, menjadikannya ancaman kuat di lanskap dunia maya.
"Bootkit ini dapat berjalan bahkan pada sistem Windows 11 yang sepenuhnya mutakhir dengan UEFI Secure Boot diaktifkan," kata perusahaan keamanan siber Slovakia ESET dalam sebuah laporan yang dibagikan dengan The Hacker News.
Bootkit UEFIÂ digunakan dalam firmware sistem dan memungkinkan kontrol penuh atas proses boot sistem operasi (OS), sehingga memungkinkan untuk menonaktifkan mekanisme keamanan tingkat OS dan menyebarkan muatan sewenang-wenang selama startup dengan hak istimewa tinggi.
Ditawarkan untuk dijual seharga $5,000 (dan $200 per versi baru berikutnya), toolkit yang kuat dan persisten diprogram dalam Perakitan dan C dan berukuran 80 kilobyte. Ini juga dilengkapi kemampuan geofencing untuk menghindari menginfeksi komputer di Armenia, Belarus, Kazakhstan, Moldova, Rumania, Rusia, dan Ukraina.
Detail tentang BlackLotus pertama kali muncul pada Oktober 2022, dengan peneliti keamanan Kaspersky Sergey Lozhkin menggambarkannya sebagai solusi crimeware yang canggih.
"Ini mewakili sedikit 'lompatan' ke depan, dalam hal kemudahan penggunaan, skalabilitas, aksesibilitas, dan yang paling penting, potensi dampak yang jauh lebih besar dalam bentuk ketekunan, penghindaran, dan/atau kehancuran," catat Scott Scheferman dari Eclypsium.
BlackLotus, singkatnya, mengeksploitasi kelemahan keamanan yang dilacak sebagai CVE-2022-21894 (alias Baton Drop) untuk menyiasati perlindungan UEFI Secure Boot dan mengatur kegigihan. Kerentanan ini diatasi oleh Microsoft sebagai bagian dari pembaruan Patch Tuesday Januari 2022.
Eksploitasi kerentanan yang berhasil, menurut ESET, memungkinkan eksekusi kode sewenang-wenang selama fase boot awal, memungkinkan aktor ancaman untuk melakukan tindakan berbahaya pada sistem dengan UEFI Secure Boot diaktifkan tanpa memiliki akses fisik ke sana.
"Ini adalah penyalahgunaan kerentanan ini yang pertama diketahui publik dan liar ini," kata peneliti ESET Martin Smolr. "Eksploitasinya masih dimungkinkan karena binari yang terpengaruh dan ditandatangani secara sah masih belum ditambahkan ke daftar pencabutan UEFI."
"BlackLotus mengambil keuntungan dari ini, membawa salinannya sendiri dari binari yang sah - tetapi rentan - ke sistem untuk mengeksploitasi kerentanan," secara efektif membuka jalan bagi serangan Bring Your Own Vulnerable Driver (BYOVD).
Selain dilengkapi untuk mematikan mekanisme keamanan seperti BitLocker, Hypervisor-protected Code Integrity (HVCI), dan Windows Defender, ini juga dirancang untuk menjatuhkan driver kernel dan pengunduh HTTP yang berkomunikasi dengan server command-and-control (C2) untuk mengambil malware mode pengguna atau mode kernel tambahan.
Modus operandi yang tepat yang digunakan untuk menyebarkan bootkit belum diketahui, tetapi dimulai dengan komponen penginstal yang bertanggung jawab untuk menulis file ke partisi sistem EFI, menonaktifkan HVCI dan BitLocker, dan kemudian me-reboot host.
Restart diikuti oleh persenjataan CVE-2022-21894 untuk mencapai ketekunan dan menginstal bootkit, setelah itu secara otomatis dijalankan pada setiap sistem mulai menyebarkan driver kernel.
Sementara driver ditugaskan untuk meluncurkan pengunduh HTTP mode pengguna dan menjalankan payload mode kernel tahap berikutnya, yang terakhir mampu menjalankan perintah yang diterima dari server C2 melalui HTTPS.
Ini termasuk mengunduh dan menjalankan driver kernel, DLL, atau executable biasa; mengambil pembaruan bootkit, dan bahkan menghapus instalan bootkit dari sistem yang terinfeksi.
"Banyak kerentanan kritis yang memengaruhi keamanan sistem UEFI telah ditemukan dalam beberapa tahun terakhir," kata Smolr. "Sayangnya, karena kompleksitas seluruh ekosistem UEFI dan masalah rantai pasokan terkait, banyak dari kerentanan ini telah membuat banyak sistem rentan bahkan lama setelah kerentanan diperbaiki - atau setidaknya setelah kami diberi tahu bahwa kerentanan tersebut telah diperbaiki."
"Hanya masalah waktu sebelum seseorang akan memanfaatkan kegagalan ini dan membuat bootkit UEFI yang mampu beroperasi pada sistem dengan UEFI Secure Boot diaktifkan."
