PhoneAndroid

نشر باحثو شركة ESET التحليل الأول لمجموعة تمهيد UEFI القادرة على تجاوز UEFI Secure Boot، وهي ميزة أمان مهمة لنظام Windows. سيكون لهذا التهديد اسم بالفعل: BlackLotus.

BlackLotus، مجموعة تمهيد UEFI تُباع في منتديات القرصنة بحوالي 5000 دولار، ربما يسمح لك الآن بتجاوز Secure Boot ofويندوز 11(أو Secure Boot، بالفرنسية)، مما يجعلها أول برنامج ضار معروف يتم تشغيله على أنظمة Windows حتى إذا تم تمكين ميزة أمان البرنامج الثابت.

على سبيل التذكير،UEFI تعني واجهة البرامج الثابتة الموحدة القابلة للتوسيع، وهذا هوخليفة البرامج الثابتة BIOS التقليدية(نظام الإدخال / الإخراج الأساسي). من جانبه، تم تصميم Secure Boot من أجلتأكد من أن النظام لا يعمل إلا باستخدام البرامج الثابتة والبرامج الموثوقة.Bootkit، من ناحية أخرى، هوالبرامج الضارة التي تصيب عملية بدء تشغيل الكمبيوتر.

أصبح BlackLotus واحدًا من أخطر البرامج الضارة في العالم

تعد مجموعات تمهيد UEFI بمثابة تهديدات قوية جدًا تتحكم بشكل كامل في عملية تمهيد نظام التشغيل وبالتالي فهي قادرة على ذلكتعطيل آليات أمان نظام التشغيل المختلفةونشر الحمولات الخاصة بهم في وضع kernel أو وضع المستخدم في المراحل الأولى من تشغيل جهاز الكمبيوتر الخاص بك. وهذا يسمح لهم بذلكتعمل بشكل خفي للغاية وبامتيازات مرتفعة. وحتى الآن، لم يتم اكتشاف سوى عدد قليل منها في البرية ووصفها علنًا.

يمكن لـ BlackLotus على وجه الخصوصتعطيل آليات أمان نظام التشغيل مثل BitLocker وHVCI وWindows Defender.بمجرد التثبيت، يكون الغرض الرئيسي من مجموعة أدوات التشغيل هو نشر برنامج تشغيل kernel (الذي، من بين أمور أخرى، يحمي مجموعة أدوات التشغيل من الحذف) وأداة تنزيل HTTP المسؤولة عن الاتصال بخادم الأوامر والتحكم وقادرة على تحميل الحمولات وميزات مفيدة إضافية في وضع المستخدم أو وضع النواة.

اقرأ أيضا-يقوم المتسللون حاليًا بتنفيذ هجوم دولي، قم بتحديث هذا البرنامج بسرعة

ستكون BlackLotus نشطة للغاية في أوروبا الشرقية

لكي يعمل، سوف يستغل BlackLotus ثغرة أمنية عمرها أكثر من عام، CVE-2022-21894، لتجاوز عملية التمهيد الآمنة وتحقيق الثبات.وكانت مايكروسوفت قد قامت بتصحيح ذلك في يناير 2022، ولكننا نسينا إضافة الثنائيات المتأثرة إلى قائمة إبطال UEFI.

تمت برمجة BlackLotus بلغة التجميع ولغة C ويبلغ حجمه 80 كيلو بايت، وقد تم استخدامه بالفعل لإصابة أجهزة الكمبيوتر الشخصية في أرمينيا وبيلاروسيا وكازاخستان ومولدوفا ورومانيا وروسيا وأوكرانيا. ومن جانبنا، دعونا نتذكر ذلكفرنسا هي الدولة الخامسة الأكثر استهدافًا ببعض الهجمات الإلكترونية.

ظهرت التفاصيل الأولى حول BlackLotus في أكتوبر 2022. ووصفه سيرجي لوزكين، الباحث الأمني ​​في Kaspersky، بأنه برنامج إجرامي متطور. في الوقت الحالي، تؤمن ESET بذلكلم يتم استخدام البرامج الضارة من قبل العديد من المتسللينمما قد يسهل القضاء عليه.

كيفية القضاء على BlackLotus من أجهزة الكمبيوتر المصابة؟

على الرغم من أن BlackLotus متخفي ولديه العديد من وسائل الحماية ضد الحذف، يعتقد باحثو ESET أنهم اكتشفوا نقطة ضعف في الطريقة التي يقوم بها برنامج تنزيل HTTP بتمرير الأوامر إلى برنامج تشغيل kernel، مما قد يسمح للمستخدمين بإزالة مجموعة أدوات التشغيل.

«في حالة رغبة برنامج تنزيل HTTP في تمرير أمر إلى برنامج تشغيل kernel، فإنه ببساطة يقوم بإنشاء قسم مسمى، ويكتب أمرًا يحتوي على البيانات المرتبطة بداخله، وينتظر حتى تتم معالجة الأمر بواسطة برنامج التشغيل عن طريق إنشاء حدث مسمى وانتظار الطيار لتشغيله (أو الإشارة إليه)"، أوضح إسيت.

لذا،يدعم برنامج تشغيل kernel أوامر التثبيت وإلغاء التثبيتوآخر «يمكن خداعه لإلغاء تثبيت مجموعة أدوات التشغيل بالكامل عن طريق إنشاء الكائنات المسماة المذكورة أعلاه وإرسال أمر إلغاء التثبيت».

تعلن ESET بالفعل أن التحديث البسيط لقائمة إبطال UEFI من شأنه أن يخفف من التهديد الذي يشكله BlackLotus، لكنه لن يزيل مجموعة أدوات التشغيل من الأنظمة المصابة. من أجل ذلك،ستكون هناك حاجة إلى تثبيت جديد لنظام التشغيل Windows، بالإضافة إلى حذف مفتاح MOK الذي حفظه المهاجمون(باستخدام الأداة المساعدة mokutil، على سبيل المثال).

«أفضل نصيحة، بالطبع، هي الحفاظ على تحديث نظامك ومنتج الأمان الخاص به لزيادة فرص إيقاف التهديد مبكرًا، قبل أن يتمكن من الوصول إلى أنظمة ما قبل نظام التشغيل."، يختتم سمولار، باحث ESET.