BlackLotus 攻击「安全启动」，Windows 11 受到安全威胁

ESET 安全研究人员发现了一种被命名为 BlackLotus 的 UEFI bootkit 恶意软件，它也是首个在现实环境中被检测到的 UEFI bootkit，可用于攻击 Windows 11 和 Windows 10 设备的「安全启动」功能。

BlackLotus 可以在已经启用 UEFI 安全启动功能的最新版本 Windows 11 上运行，它能够在操作系统启动/引导的早期阶段绕过各种安全机制并部署自己的「内核模式或用户模式负载」，以完全控制操作系统的引导过程，像类似 BlackLotus 这样的 UEFI bootkit 是非常危险的。

此外，BlackLotus UEFI bootkit 非常隐蔽且拥有很高的权限，因此具有很强的安全威胁。

「安全启动」功能的简要解释

安全启动是一种旨在控制设备引导过程的安全标准，其工作机制的基本核心就是：检查引导软件（包括 UEFI 固件驱动程序、EFI 应用程序和操作系统）的签名，以确保所有签名都是安全有效的。若有恶意软件篡改其中任何一个内容，就会导致签名检查失败，该功能会强制阻止操作系统启动。

Windows 11 操作系统就要求使用「安全启动」。

虽然「安全启动」意在防止 UEFI bootkit，但 ESET 还是发现并指出了其中存在一些已知漏洞，一些漏洞甚至可以在完全更新的 Windows 11 系统上运行，BlackLotus 便是利用了其中的一个问题。

BlackLotus 恶意软件

ESET 研究人员在 2022 年底的「遥测」中发现并注意到了首个「BlackLotus 用户模式组件」，通过评估后共发现了六个 BlackLotus 安装程序，这才意识到它并不是普通的恶意软件。

研究人员发现了以下关键内容：

• BlackLotus 能够在启用 UEFI 安全启动功能并打完全打补丁的 Windows 11 设备上运行。
• 它利用了一年前的 CVE-2022-21894 漏洞来绕过安全启动检查机制，虽然 Microsoft 在 2022 年 1 月的更新中修复了此问题，但因「受影响的有效签名二进制文件仍未被添加到 UEFI 吊销列表中」，所以仍可能存在漏洞。
• 该恶意软件可以禁用 Windows 操作系统安全功能，包括：BitLocker、Windows Defender 和HVCI（Hypervisor-Protected Code Integrity）。
• BlackLotus 部署了一个内核驱动来保护 bootkit，还会安装一个 HTTP 下载器，可能会用于加载其它负载并通过命令进行通信和控制。
• BlackLotus 最早出现可以追溯到 2022 年 10 月 6 日，有人在黑产论坛上对它进行了宣传。
• 如果检测到设备上的某些设置，一些 BlackLotus 安装程序会跳过 bootkit 的安装。

ESET 对 BlackLotus 的分析非常详尽和专业，有兴趣的用户可以查看博客原文以获取完整的细节。

针对 BlackLotus 的缓解和处理措施

• 保持系统和安全软件的更新。有些安全应用程序可以在系统感染之前检测到这种威胁，从而防止 BlackLotus 的入侵和持久化。
• 应当吊销已知的，用于绕过安全启动的 UEFI 二进制文件。ESET 建议通过 Windows Update 获取微软分发的吊销更新。（吊销可能会导致系统、恢复映像和备份出现问题，从而无法启动 Windows。）
• 使用虚拟机或沙箱环境运行来源可疑的可执行文件可以降低感染的风险。
• ESET 在其网站上发布了 BlackLotus 文件签名、证书和域名，这些信息可用于预先阻止攻击。