【贏在開機線】BlackLotus注入UEFI套件　搶先停用Windows 11安全防禦功能

ESET網絡安全專家發現，一款名為 BlackLotus 的惡意 UEFI 啟動套件正被濫用，由於這套件會直接嵌入到 UEFI 系統韌體，因而具有最高權限可完全控制作業系統的啟動過程，並停用系統核心級別的安全防禦機制，即使用家已將 Windows 11 完全更新也無法阻止攻擊，成為首款被公開可繞過 Secure Boot 的惡意入侵工具。

UEFI（Unified ExtensibleFirmware Interface）是一種為了取代傳統 BIOS 而設的系統，它可於作業系統啟動前，將電腦硬體初始化及進行診斷，提升開機速度。由於會早於作業系統啟動，因此黑客如成功利用該漏洞，便不會受作業系統權限所限制，同時亦無法被防毒軟件偵測。

今次被發現的 BlackLotus 最早可追遡至 2022 年 10 月出現，而 ESET 安全專家則披露出更多入侵的細節。專家指，它利用 CVE-2022-21894 安全漏洞，可通過遙距方式執行惡意編碼，繞過 UEFI 安全啟動保護，實現持久性。

而 Microsoft 在去年一月，已聲稱修補了該漏洞，但由於 BlackLotus 背後的黑客，製成了合法而又未被 Microsoft 歸入 UEFI 撤銷清單的二進制檔案，再利用電腦內本身的編碼執行惡意功能，實現 Bring Your Own Vulnerable Drive 的攻擊方式，因此仍無阻黑客利用入侵。

在 BlackLotus 成功添加到 UEFI 系統後，就會立即關閉 BitLocker、HVCI、Windows Defender 等防禦系統，再建立與 C&C 控制中心之間的網絡連結，令惡意功能可持續存活，同時可在未來隨意注入更多惡意程式。

專家指出，BlackLotus 套件以 Assembly 和 C 程式碼寫成，大小僅為 80k bytes，它具備地理位置偵測功能，如發現電腦系統位於亞美尼亞、白俄羅斯、羅馬尼亞、俄羅斯等地區就會中止攻擊行動，因此估計黑客亦來自上述地方。

現時套件正於暗網以 5000 美元發售，其易用性、可擴展性及持久性都令人頭痛，加上由於涉及 UEFI 系統的威脅都非常複雜，只能依靠系統開發公司想出解決方法。

資料來源：https://thehackernews.com/2023/03/blacklotus-becomes-first-uefi-bootkit.html?m=1

相關文章：【群情洶湧】Microsoft OneNote未受MOTW保護　可隨意附加惡意檔案