BlackLotus è il nuovo bootkit per Windows che è in grado di aggirare le protezioni hardware e software.
“I bootkit UEFI sono dei malware caricati nelle fasi iniziali dell’avvio del sistema operativo e sono quindi invisibili ad antivirus e qualsivoglia software di sicurezza installato nel PC”, mette in guardia Antonio D’Eri, Cybersecurity Analyst di Exprivia.
“I criminali informatici”, afferma Antonio Minnella, Cybersecurity Analyst di Exprivia, “stanno pubblicizzando forum dedicati in cui si tratta la compravendita di malware e derivati, un nuovo temibile strumento. Tra questi, anche BlackLotus, il nuovo bootkit UEFI per Windows che mette a disposizione degli attori malevoli funzionalità di Advanced Persistent Threat (APT)”. Ecco come proteggersi.
Indice degli argomenti
BlackLotus: bootkit UEFI per Windows
In vendita sui forum del Dark Web al prezzo di 5 mila dollari, BlackLotus ha già guadagnato una nuova versione. La nuova release del bootkit può essere comprata aggiungendo altri 200 dollari.
Grazie alle “funzionalità di Advanced Persistent Threat (APT)”, il bootkit UEFI per Windows consente ai cyber criminali “di assumere il controllo dei sistemi vittime dell’attacco e allo stesso tempo ne rende difficile, se non impossibile, ogni tentativo di rilevamento”, continua Antonio Minnella.
Le campagne di cyber spionaggio, spesso di natura “nation-state”, sfruttano i bootkit per sferrare attacchi mirati contro imprese o altri obiettivi sensibili, al fine di rubare informazioni importanti e riservate.
“Il malware, che occupa appena 80 KB”, spiega Minnella, “è scritto col linguaggio a basso livello Assembly e il C, che permette la gestione avanzata della memoria. Il funzionamento di BlackLotus è garantito a livello globale fatta eccezione per le aree appartenenti alla Comunità degli Stati Indipendenti (CSI)”.
L’offuscamento del codice può impedire l’analisi con macchine virtuali e tool di debugging. Inoltre BlackLotus può disabilitare Microsoft Defender, BitLocker e HVCI (Hypervisor-Protected Code Integrity), bypassare le protezioni UAC e Secure Boot, oltre a caricare driver non firmati.
Infatti “BlackLotus include numerose funzioni di evasione del rilevamento”, mette in guardia Minnella, “tra cui l’anti-virtualization (anti-VM), l’offuscamento del codice e l’anti-debugging. Può inoltre bypassare il controllo dell’account utente (UAC) e disabilitare l’Hypervisor-protected Code Integrity (HVCI) e Windows Defender”.
“BlackLotus non solo ha la capacità di eludere il controllo dell’accesso degli utenti e l’avvio sicuro”, continua l’analista, “ma potrebbe consentire agli attori delle minacce di caricare driver non firmati sulle macchine compromesse, aprendo la strada ad attacchi BYOVD (Bring Your Own Vulnerable Driver)”.
I dettagli
“Un’altra caratteristica che rende BlackLotus così pericoloso”, avverte Antonio D’Eri, “è la sua protezione a livello Kernel/Ring 0. I computer operano utilizzando anelli di protezione che suddividono il sistema in diversi livelli basati su quanto fondamentali siano per l’operazione in oggetto, al fine di prevenire potenziali minacce.
Guadagnare l’accesso è progressivamente più difficile: al centro c’è il Ring 0, il quale contiene il kernel, che rappresenta il livello più alto di protezioni in termini di accesso.
Risulta evidente quindi che, con una protezione a Ring 0, Black Lotus sia estremamente difficile da intaccare e rimuovere dal sistema”.
Infatti “da quanto si apprende sul forum DarkBeast KE-LA”, spiega Minnella, “il presunto venditore afferma che il bootkit comprende la protezione Ring0/Kernel (Ring 0 è il livello con il maggior numero di privilegi e consente l’interazione diretta con l’hardware fisico come alcune funzionalità della CPU e chip sulla scheda madre). BlackLotus garantisce la protezione contro la rimozione e il bypass di avvio protetto integrato, eliminando la necessità di aggiornamenti regolari dell’agente. Ciò rafforza le affermazioni del venditore secondo cui i software antivirus non saranno in grado di rilevare e rimuovere il bootkit una volta installato”.
“Entrando nello specifico di come lavorano i bootkit UEFI come BlackLotus, possiamo definirli una forma aggressiva di rootkit che vengono iniettati nel record di avvio principale (MBR) di un sistema o nel record di avvio del volume (VBR) per ottenere la persistenza. Poiché i bootkit sono appositamente realizzati per essere caricati prima del sistema operativo, la loro esecuzione non può essere evitata avviando il sistema in modalità di ripristino o provvisoria”, sottolinea Minnella.
Come proteggersi
“Sergey Lozhkin, ricercatore di Kaspersky, sottolinea l’importanza e la gravità della notizia evidenziando che normalmente questo tipo di toolkit è stato sempre arma di gruppi hacker organizzati e sponsorizzati dallo Stato che si occupavano di APT (Advanced Persistent Threats)”, mette in evidenza D’Eri, “Ora invece ‘questi tipi di strumenti sono nelle mani dei criminali presenti su tutti i
forum’, dice Lozhkin”.
Infatti “proprio per le peculiarità appena descritte, i malware del calibro di BlackLotus vengono, in genere, associati ad attori malevole organizzati e dietro i quali potrebbe esserci il benestare di alcuni Stati non esattamente nuovi a questo genere di attività”, afferma Minnella.
“Scott Scheferman, di Eclypsium”, continua D’Eri, “aggiunge che ‘BlackLotus rappresenta un passo avanti in termini di facilità d’uso, scalabilità e impatto potenziale sottoforma di tecniche di persistenza ed evasione’”, sottolinea D’Eri.
“Ad ogni modo”, conclude Minnella, “fino a quando non verremo in possesso di un sample, una prova che al momento non è stata fornita, non c’è modo di stabilire che quanto affermato dalla gang criminale sia effettivamente in loro possesso e funzioni così come descritto”.
Le specifiche della UEFI permettono di incorporare soluzioni di sicurezza al suo interno. Si tratta di soluzioni che in teoria dovrebbero eseguire controlli di auto integrità UEFI, garantendo che essa non sia infetta, oltre a scansionare i file del sistema operativo dei computer locali e rilevare ed eliminare ogni bootkit.
Tuttavia, “lo stesso Sheferman consiglia di mantenere prudenza fin quando non si ottiene un ‘sample’ del malware e lo si testa in un ambiente di produzione, per valutare i potenziali impatti che può avere”, conferma D’Eri.
