BlackLotus UEFI bootkit

ほぼこもセキュリティニュース By Terilogy Worx

セキュアブートという安全のための機構があります。
セキュアブートとは、PC の起動 (ブート) 時に悪意のあるソフトウェアが読み込まれないように設計された重要なセキュリティ機能です。
このセキュアブートを潜り抜けてしまうマルウェアが実際に配布されてしまっています。
この悪意ある実装は2022年から販売されていることは確認されていましたが、実際に配布されてしまっているものが今回検証されて内容が明らかになっています。
宣伝文句の真偽のほどは次の通りです。

  • セキュアブートをバイパスできる
    本当でした。
    CVE-2022-21894を悪用して、セキュアブートの安全性を破壊し、UEFIセキュアブート対応システムで永続性を実現します。
  • ブートキットには削除に対抗するRing0/Kernel保護が組み込まれている
    本当でした。
    悪意あるブートキットが取り除かれそうになった際にはブルースクリーンになって削除できなくする機構が搭載されています。
  • アンチ仮想マシン (アンチ VM)、アンチデバッグ、およびマルウェア分析の試みをブロックするコード難読化機能が付属している
    本当でした。
    さまざまな手法が含まれており、複製や分析を困難にしています。
  • HTTPダウンローダーとして機能する
    本当でした。
    HTTPダウンローダーが実装されています。
  • HTTPダウンローダーが正当なプロセス内でSYSTEMアカウントで実行される
    本当でした。
    HTTPダウンローダーはwinlogon.exeプロセスコンテキストのなかで実行されます。
  • ディスク上のサイズがわずか 80 kB の小さなブートキットである
    本当でした。
    実際に取得できたサンプルは80kB程度の大きさでした。
  • HVCI、Bitlocker、Windows Defenderなどの組み込みのWindowsセキュリティ保護を無効にし、ユーザーアカウント制御(UAC)をバイパスできる
    本当でした。
    実際にこれらを無効にし、UACをバイパスできることが確認されました。

アンダーグラウンドの宣伝文句は、いずれも本当でした。
セキュリティを高めてくれる機構はにはいろいろなものがありますし、それらを利用することは必要です。
しかし、「セキュアブートがあるから大丈夫」とはなっていないということに思えます。
XXXXXがあるから大丈夫、は難しいようです。

参考記事(外部リンク):BlackLotus UEFI bootkit: Myth confirmed
www.welivesecurity.com/2023/03/01/blacklotus-uefi-bootkit-myth-confirmed/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。