حمله بدافزار BlackLotus به سیستم‌های ویندوزی از سر گرفته شد !!

محققان شرکت امنیتی ESET اخیراً گزارشی در خصوص یک UEFI Bootkit به نام BlackLotus را کشف کرده‌اند که قادر به دور زدن ساز و کار امنیتی UEFI Secure Boot می باشد. حسب اطلاعات ارائه شده، این بدافزار در حال حاضر در فروم‌های هکری به قیمت 5 هزار دلار آمریکا به فروش می‌رسد و قابلیت اجرا بر روی کیس‌های به روز شده و مجهز به ویندوز 11 که قابلیت UEFI Secure Boot بر روی آن‌ها فعال است را دارا می‌باشد. این بوت‌کیت از یک آسیب‌پذیری که دارای قدمت یک ساله است، برای دور زدن قابلیت Secure Boot و ایجاد پایداری بر روی کیس هدف استفاده می‌کند. لازم به ذکر است گرچه این آسیب‌پذیری در ماه ژانویه سال 2022 میلادی وصله شده است، ولی امکان بهره‌برداری از آن همچنان وجود دارد چرا که فایل‌های باینری مربوطه هنوز به  Revocation List UEFI اضافه نشده‌اند؛ بدافزار  BlackLotus نیز از همین موضوع بهره‌برداری نموده و نسخه‌های قانونی ولی آسیب‌پذیری از فایل‌های باینری را به سیستم تزریق می‌کند تا از آسیب‌پذیری یاد شده، سوءاستفاده نماید.

این بدافزار قادر است تا ساز و کارهای امنیتی تعبیه شده در ویندوز از جمله Windows Defender (که در گذشته با نام مایکروسافت ضد جاسوس‌افزار شناخته می‌شد، نرم‌افزاری است که‌شرکت مایکروسافت آن را برای جلوگیری، حذف و قرنطینه کردن جاسوس‌افزارها ساخته است. این نرم‌افزار به طور پیش‌فرض همراه ویندوز ویستا، ویندوز ۷ و ویندوز ۱۰ و ویندوز ۱۱است و برای نسخه‌های ویندوز اکس‌پی و ویندوز سرور ۲۰۰۳ در وب‌گاه مایکروسافت به‌طور رایگان برای دانلود وجود دارد)، HVCL، BitLocker (قابلیت امنیتی است که از نسخه‌های نهایی ultimate و تجاری Enterprise، ویندوز ویستا به بعد، به ویندوز اضافه شده و وظیفه رمزگذاری بر روی داده‌ها را بر عهده دارد. بیت‌لاکر قابلیت رمزگذاری و قفل تمام volumهای پارتیشن‌ها را با استفاده از کلیدهای 128 یا 256 بیتی و با الگوریتم رمزگذاری AES در حالت CBC دارد.

 در رابط جدید علاوه بر رمزگذاری ولوم‌های هارددیسک، امکان رمزگذاری بر روی سایر دستگاه‌های ذخیره‌سازی قابل حمل از جمله حافظه‌های USB نیز اضافه شده است)، را غیرفعال سازد. این بوت‌کیت پس از نصب، هدف اصلی خود یعنی توسعه یک Kerne Driver (هسته سیستم عامل ماژول مرکزی یک سیستم عامل است، بخشی که  ابتدا عمل بارگزاری را انجام می دهد و پس از آن در حافظه اصلی (رم) باقی می ماند، با توجه به باقی ماندن کرنل در حافظه و در حالی که خدمات اصلی مورد نیاز برای دیگر اجزای سیستم عامل را ارائه می کند، اندازه آن باید تا حد امکان کوچک باشد. اطلاعات داخل کرنل اغلب کد شده و در قسمت محافظت شده ای در حافظه ذخیره می شوند تا از رو نویسی آن به وسیله برنامه های دیگر جلوگیری شود، معمولا کرنل مسئول مدیریت حافظه و پردازش و همچنین مدیریت فضای دیسک است. کرنل سخت افزار سیستم را به نرم افزار اپلیکیشن  متصل می کند)، را دنبال می‌کند که منجر به جلوگیری از حذف بوت‌کیت می‌شود و به همراه آن یک HTTP Dowenloader که مسئولیت برقراری ارتباط با سرور فرماندهی  کنترل را بر عهده داشته و قادر به بارگذاری playloadهایی نظیر User-mode یا   Kernel-mode می‌باشد را توسعه می‌دهد.

محقان اعلام داشتند که تعداد محدودی از گروه‌های هکری اقدام به استفاده از BlackLotus نموده‌اند ولی این نگرانی وجود دارد که این بدافزار در اختیار گروه‌هایی از نوع Crimeware ( نرم‌افزاری که برای ارتکاب جرم از آن استفاده می‌شود)، قرار گیرد که با توجه به سادگی توزیع و توسعه آن و توانمندی‌های گروه‌های یاد شده در توزیع بدافزار از طریق با‌ت‌نت‌های مورد استفاده خود، موضوعی نگران کننده به شمار می‌آید.گفتنی است طی سال‌های اخیر، تعداد زیادی از آسیب‌پذیری‌هایی که سیستم‌های UEFI را تحت تأثیر قرار می‌دهند، کشف شده‌اند؛ به علت پیچیدگی اکوسیستم UEFI و سایر مشکلات مربوط به آن، بسیاری از این آسیب‌پذیری‌ها، سیستم‌ها را برای مدت زمان طولانی و حتی پس از وصله شدن، آسیب‌پذیر باقی گذاشته‌اند. بوت‌کیت‌های UEFI با توجه به در اختیار داشتن کنترلی کامل بر فرآیند بوت شدن سیستم‌عامل، تهدیداتی جدی محسوب می‌شوند لذا توانایی غیرفعال‌سازی ساز و کارهای امنیتی سیستم عامل و به کارگیری playloadهای User/ Kernel Mode مخصوص بوت‌کیت‌ها، از جمله توانمندی‌های آن‌ها است.

این موضوع، آن‌ها را قادر می‌سازد تا به صورت مخفیانه و با داشتن دسترسی‌های سطح بالا، به فعالیت خود ادامه دهند؛ البته باید به این نکته اشاره داشت Firmware Implantها از منظر توانایی‌هایی در خصوص فعالیت مخفیانه، در مقایسه با بوت‌کیت‌ها دارای برتری می‌باشند چرا که بوت‌کیت‌ها در یک پارتیشن FAT32 که به سادگی در دسترس هستند قرار می‌گیرند؛ گرچه اجرای آن‌ها در قالب Bootloader تقریباً توانمندی‌های مشابهی را در اختیار آن‌ها قرار می‌دهد بدون آنکه نیازی به غلبه بر لایه‌های متعدد امنیتی اعمال شده به منظور مقابله با Firmware Implantها باشد؛ در همین رابطه، بهترین راهکار مقابله با این قبیل تهدیدات، به‌روز نگه داشتن محصولات امنیتی است تا هر تهدیدی در فازهای اولیه متوقف شود و قبل از رسیدن به سطح ماندگاری پیش از سیستم‌عامل برسد؛ در همین رابطه، محققان امنیتی اعلام داشتند که کاربران باید از به‌روز بودن سیستم و نرم‌افزار امنیتی تعبیه شده بر روی آن اطمینان حاصل نمایند چرا که این موضوع، احتمال خنثی سازی تهدیدات سایبری در مراحل اولیه را افزایش می‌دهد. به منظور جلوگیری از سوءاستفاده UEFI Binaryهای شناخته شده، غیرفعال ساختن این موارد در UEFI dbx ضروری است و در سیستم‌های ویندوزی، به روزرسانی‌های dbx باید از طریق به‌روزرسانی‌های ویندوز صورت پذیرد؛ گفتنی است فرآیند ابطال باینری‌های UEFI می‌تواند منجر به رندر شدن هزاران سیستم قدیمی، ایمیج‌های بازیابی یا نسخه پشتیبانی شود که امکان بوت شدن آن‌ها وجود ندارد؛ بنابراین، فرآیند مزبور، فرآیندی زمان‌بر خواهد بود.