セキュアブートという安全のための機構があります。
セキュアブートとは、PC の起動 (ブート) 時に悪意のあるソフトウェアが読み込まれないように設計された重要なセキュリティ機能です。
このセキュアブートを潜り抜けてしまうマルウェアが実際に配布されてしまっています。
この悪意ある実装は2022年から販売されていることは確認されていましたが、実際に配布されてしまっているものが今回検証されて内容が明らかになっています。
宣伝文句の真偽のほどは次の通りです。
- セキュアブートをバイパスできる
本当でした。
CVE-2022-21894を悪用して、セキュアブートの安全性を破壊し、UEFIセキュアブート対応システムで永続性を実現します。 - ブートキットには削除に対抗するRing0/Kernel保護が組み込まれている
本当でした。
悪意あるブートキットが取り除かれそうになった際にはブルースクリーンになって削除できなくする機構が搭載されています。 - アンチ仮想マシン (アンチ VM)、アンチデバッグ、およびマルウェア分析の試みをブロックするコード難読化機能が付属している
本当でした。
さまざまな手法が含まれており、複製や分析を困難にしています。 - HTTPダウンローダーとして機能する
本当でした。
HTTPダウンローダーが実装されています。 - HTTPダウンローダーが正当なプロセス内でSYSTEMアカウントで実行される
本当でした。
HTTPダウンローダーはwinlogon.exeプロセスコンテキストのなかで実行されます。 - ディスク上のサイズがわずか 80 kB の小さなブートキットである
本当でした。
実際に取得できたサンプルは80kB程度の大きさでした。 - HVCI、Bitlocker、Windows Defenderなどの組み込みのWindowsセキュリティ保護を無効にし、ユーザーアカウント制御(UAC)をバイパスできる
本当でした。
実際にこれらを無効にし、UACをバイパスできることが確認されました。
アンダーグラウンドの宣伝文句は、いずれも本当でした。
セキュリティを高めてくれる機構はにはいろいろなものがありますし、それらを利用することは必要です。
しかし、「セキュアブートがあるから大丈夫」とはなっていないということに思えます。
XXXXXがあるから大丈夫、は難しいようです。
参考記事(外部リンク):BlackLotus UEFI bootkit: Myth confirmed
www.welivesecurity.com/2023/03/01/blacklotus-uefi-bootkit-myth-confirmed/
この記事をシェア |
---|
一緒によく読まれている記事
-
- APIキーや認証情報といった機密情報を
管理・保管するためのベストプラクティス
[クイックリファレンス(PDF形式)付き] - 本記事は、GitHubから流出した機密情報をリアルタイム検知するサービスを提供するGitGuardian社のホームページで公開されたレポートを日本語に翻訳したものです。 (原題)...
- APIキーや認証情報といった機密情報を
-
- GitGuardian レポート 「The state of Secrets Sprawl 2023」公開/日本語翻訳版はテリロジーワークスが作成
- GitHub等から流出した機密情報をリアルタイムで検知するサービス「GitGuardian Public Monitoring」を提供するGitGuardian社より、昨年に引き...