Microsoft が Windows セキュア ブート、Defender、VBS、BitLocker バイパス BlackLotus のガイドを投稿

先月、ESET マルウェア対策ソリューションのセキュリティ研究部門である WeLiveSecurity は、BlackLotus のセキュリティ脆弱性に関するレポートをリリースしました。

ご存じないかもしれませんが、BlackLotus は UEFI ブートキットであり、このマルウェアを特に危険なものにしているのは、更新された Windows 11 システムでもセキュア ブート システムをバイパスできることです。それに加えて、BlackLotus はレジストリを変更して、仮想化ベースのセキュリティ (VBS) 機能であるハイパーバイザーで保護されたコード整合性 (HVCI) を無効にします。BitLocker 暗号化も同様です。また、Early Launch Anti-Malware (ELAM) ドライバーと Windows Defender ファイル システム フィルター ドライバーを操作して、Windows Defender を無効にします。最終的な目的は、悪意のあるペイロードを配信する HTTP ダウンローダーを展開することです。

「バトン ドロップ」(CVE-2022-21894) と呼ばれるセキュリティの脆弱性は 1 年前にパッチが適用されましたが、署名されたバイナリがまだ UEFI 失効リストに追加されていないため、依然として悪用されています。最近公開されたガイダンスで、Microsoft は BlackLotus が侵入した後に行う悪意のある活動をまとめました。

このマルウェアは、CVE-2022-21894 (別名 Baton Drop) を使用して Windows セキュア ブートをバイパスし、その後、UEFI ファームウェアによって起動される EFI システム パーティション (ESP) に悪意のあるファイルを展開します。これにより、ブートキットで次のことが可能になります。

1. 脅威アクターのマシン オーナー キー (MOK) を登録することで持続性を実現
2. HVCI をオフにして、悪意のあるカーネル ドライバーの展開を許可する
3. カーネル ドライバーを利用して、コマンド アンド コントロール用のユーザーモード HTTP ダウンローダーをデプロイする (C2)
4. Bitlocker をオフにして、Windows でのタンパー プロテクション戦略を回避する
5. Microsoft Defender ウイルス対策をオフにして、それ以上検出されないようにする

そのガイダンスでは、テクノロジーの巨人は、組織内のデバイスが感染しているかどうかを判断する手法と、回復および防止戦略を詳細にカバーしています. Microsoft の公式 Web サイトで読むことができます。