2023年3月3日 / 最終更新日 : 2023年3月3日 Kazuo_Komoriya ほぼこもセキュリティニュース

BlackLotus UEFI bootkit

ほぼこもセキュリティニュース By Terilogy Worx

セキュアブートという安全のための機構があります。
セキュアブートとは、PC の起動 (ブート) 時に悪意のあるソフトウェアが読み込まれないように設計された重要なセキュリティ機能です。
このセキュアブートを潜り抜けてしまうマルウェアが実際に配布されてしまっています。
この悪意ある実装は2022年から販売されていることは確認されていましたが、実際に配布されてしまっているものが今回検証されて内容が明らかになっています。
宣伝文句の真偽のほどは次の通りです。

  • セキュアブートをバイパスできる
    本当でした。
    CVE-2022-21894を悪用して、セキュアブートの安全性を破壊し、UEFIセキュアブート対応システムで永続性を実現します。
  • ブートキットには削除に対抗するRing0/Kernel保護が組み込まれている
    本当でした。
    悪意あるブートキットが取り除かれそうになった際にはブルースクリーンになって削除できなくする機構が搭載されています。
  • アンチ仮想マシン (アンチ VM)、アンチデバッグ、およびマルウェア分析の試みをブロックするコード難読化機能が付属している
    本当でした。
    さまざまな手法が含まれており、複製や分析を困難にしています。
  • HTTPダウンローダーとして機能する
    本当でした。
    HTTPダウンローダーが実装されています。
  • HTTPダウンローダーが正当なプロセス内でSYSTEMアカウントで実行される
    本当でした。
    HTTPダウンローダーはwinlogon.exeプロセスコンテキストのなかで実行されます。
  • ディスク上のサイズがわずか 80 kB の小さなブートキットである
    本当でした。
    実際に取得できたサンプルは80kB程度の大きさでした。
  • HVCI、Bitlocker、Windows Defenderなどの組み込みのWindowsセキュリティ保護を無効にし、ユーザーアカウント制御(UAC)をバイパスできる
    本当でした。
    実際にこれらを無効にし、UACをバイパスできることが確認されました。

アンダーグラウンドの宣伝文句は、いずれも本当でした。
セキュリティを高めてくれる機構はにはいろいろなものがありますし、それらを利用することは必要です。
しかし、「セキュアブートがあるから大丈夫」とはなっていないということに思えます。
XXXXXがあるから大丈夫、は難しいようです。

参考記事(外部リンク):BlackLotus UEFI bootkit: Myth confirmed
www.welivesecurity.com/2023/03/01/blacklotus-uefi-bootkit-myth-confirmed/

カテゴリー
ほぼこもセキュリティニュース
ほぼこもセキュリティニュース
ほぼこもセキュリティNews②

前の記事

Parallax RAT
2023年3月2日
ほぼこもセキュリティニュース
ほぼこもセキュリティNews②

次の記事

OneNoteの設定の工夫
2023年3月6日