BlackLotus

Nos, úgy néz ki

Értékelés: 

0
Még nincs értékelve

Átrágtam magam az ESET dokumentálásán. Elöljáróban megjegyezném, ez nem az első, és nem is utolsó ilyen a jelek szerint. A TPM2.0-t is azzal a dumával erőlteti a Microsoft a W11-nél, hogy az ez előttieket már szarrá hekkelték, és most úgy látszik a TPM2.0-ra is elkezdődött.

No, de vissza az Eset dokumentációhoz, amiből a következőket lehet kiolvasni:

Maga a virnya több lépcsőben kerül fel a gépre. Először az EFI partícióra mászik, ehhez viszont Windows hibákat használ ki, és Windows folyamatokat használ. Magyarul Linux alatt nem tud felmászni.

A következő lépés beleírni magát a BIOS-ba (UEFI-be), feltölti a kulcsokat, amihez olyan tanúsítványokat használ, amit előzőleg felhekkelt Windows alatt, és a Windows-al tanúsítatja magát.

/Megjegyzés: jelszóval védett UEFI-t a Windows 10 sem tud módosítani. Ami nincs jelszavazva, abba bele tud mászni, de nem minden modellen. (Pl. HP gépeken tud.)/

Majd ha bekerült az UEFI-be, onnan mindenféle műveletekkel kompromittálja a Windowst, kikapcsolja az UAC-t, kikapcsolja a Bitlockert, és hát HTTP forgalmat generál valamerre.

Na most Linux alatt ez utóbbi működhet. Ha mondjuk dualbootos a gép, és megfertőződik a Windows, akkor, amikor a Linux fut, (ami alatt nincs UAC, és nincs Bitloker) esetleg működhet a webes kommunikáció, de az is lehet, hogy nullpointer hibára fut a fentiek miatt, azaz működésképtelen lesz, mert nincs lekezelve mondjuk az UAC hiánya.

Ez csak tipp, mert kevés infó van, az Eset oldalon megosztott kódokban nem láttam semmiféle elegáns hibakezelő megoldást, ami azt mutatná, hogy mi van akkor, ha nincs pl. UAC.

Ugyanakkor a szenzációhajhász cikkeket sem értem, mármint az olyan dumákat, hogy nem lehet detektálni, nem lehet írtani. Mert maga a vírus mégis hogy a pitliben tud felmászni. Ha ő tuja írni az UEFI-t, a TPM-et, akkor más hogy hogy nem tudja. BIOS frissítéskor ha a frissítés nem sikerül, mert checksum hiba van, akkor az író program ezt mégis hogy tudja detektálni, és jelezni? 

Itt csak az történt, hogy a mostmár aztán tényleg szuperbiztonságos és törhetetlen rendszerről kiderült, hogy dehogy az. Mint ahogy eddig számtalan alkalommal. Akkor sem volt megoldás, nem volt ötlet. Nem dőlt össze a világ, kitalálták az ellenszert, a TPM2.0-t. Most sem lesz más, lesz TPM2.1, kellenek új gépek, lesz majd TPM2.2 és megint új gépek, mert a W11 SP1 nem lesz kompatibilis az addigi gépekkel.

Még további infók

Értékelés: 

0
Még nincs értékelve

Most már nem tudom hány oldalon átrágtam magam, több infó után, de hadd ne linkeljem be ide őket, nagyon sok, rá kell keresni a témára, mindenki láthatja.

A következő érdekességek - gondolatok ragadták meg a figyelmem:

Amikor a WSL megjelent, akkor többen azt vélték gondolni, hogy ezzel új eszköz kerül a rosszfiúk kezébe, abban az értelemben, hogy ebben a kombinációban lehetnek még olyan hibák, amikre eddig senki nem gondolt, hisz nem volt olyan, hogy Windowsba integrált Linux.

2021 év folyamán több blog is volt arról, hogy megjelentek olyan huncsutságok, amikről lerí:

- A WSL-re építkezve másznak fel a gépre.
- Linux alatt íródtak, kombinált Python és Powershell kódot tartalmaznak.
- Linux alatt íródtak Python alatt teljes mértékben. (de nyilván a Linux WSL alatt futott, különben hogy lett volna kipróbálva / tesztelve)

Ezek nagyon hasonlóak a mostani cucchoz, akár ennek korai változatai lehettek.

Későbbi, tavalyi infók:

- Megjelent a sötét weben a jelenlegi cucc. 5000 dollárért kínálják, de azt ígérték, hogy le fog menni 200 dollárra később az ára, és ez kongatta meg a vészharangot.

- Szakavatott szakértő (vezető vírusirtó fejlesztő cégtő): - Nem az a "szenzáció", hogy van ilyen, mert ez mindig is volt, csak ezt "magas" szinten használták, azaz kormányzati hackererek, hírszerzők. A "szenzáció" most az, hogy megjelent az alsóbb szinteken, és olcsón árulják.

Még későbbi (kb. mostani nyilatkozatok):
- A kód még fejlesztésre szorul. Az eddig elkapott kódok egyfelől már routolt linkekre is hivatkoznak, de álcázott konkrét címekre is, amik a githubra mutatnak, ám a hivatkozott mappa már törölve lett.
- Adattípus hibák vannak benne, rosszul használják a változókat, ez azt jelzi, hogy még fejlesztés alatt áll, de ezeket könnyű javítani.
- Persze, nem lehet detektálni, amit úgy kell érteni, hogy ameddig nincs konkrét minta, amire keresni lehet, addig nincs mit keresni. A jelenlegi kódmintára lehet keresni, de minek, az úgy sem működik. A végleges, működő kódra kell keresni, de olyan minta még nincs. Ami nem jelenti azt, hogy nem létezik.

(gondolom ez utóbbit értelmezi úgy a végsajtó, hogy nem lehet detektálni a vírust)

 

Még további infók

Értékelés: 

0
Még nincs értékelve

#2 valahogy sejtettem a választ. Én is nézegettem oldalakat, de azért gondoltam, hogy rákérdezek. Köszönöm a magyarázó válaszodat. Szép napot.

Erről esetleg egy cikket?

Értékelés: 

0
Még nincs értékelve

#3 szerintem is, mivel sokan használnak windows-t linux mellett.

Erről esetleg egy cikket?

Értékelés: 

5
Átlag: 5 (1 szavazat)

#3 Nekifuttam párszor, de nehéz értelmeset összehozni. Arról, hogy mi van linux alatt ha kompromittált az UEFI végképp nincs infó. Kellene egy vírus, hogy kipróbáljam.

Erről esetleg egy cikket?

Értékelés: 

0
Még nincs értékelve

#3.2

 

A BlackLotus nevű kártevő egy új fenyegetés, amely képes kompromittálni a gépek UEFI-jét és BIOS-át. Az ESET kutatói már elemezték a kártevőt, és megerősítették, hogy az első lépései a Windows hibáinak és folyamatainak kihasználásával történnek meg. A BlackLotus ezután beleírja magát a BIOS/UEFI rendszerbe, és feltölti a szükséges kulcsokat, amelyeket korábban Windows alatt sikerült feltörnie.

Amikor a BlackLotus már az UEFI-be telepedett, képes különböző műveleteket végezni a Windows rendszeren, mint például az UAC vagy a Bitlocker kikapcsolása, valamint HTTP forgalom generálása. A kártevőnek valószínűleg problémái lehetnek Linux alatt, mivel az UEFI-ben megadott függőségek hiányoznak, és az elérhető kommunikációs lehetőségek korlátozottak. Ezenkívül, ha a Windows rendszer sérült, a BlackLotus működése alatt is problémák lehetnek.

Bár az ESET kutatói arról számoltak be, hogy a BlackLotus nagyon veszélyes, néhány szenzációhajhász cikk azt állította, hogy a kártevő teljesen detektálhatatlan és írhatatlan. Azonban ez nem igaz, mert ha a kártevő az UEFI-be ír, akkor a következő BIOS frissítéskor az író program ellenőrizheti a fájltöredezeteket, és észreveheti a kártevő jelenlétét.

A BlackLotus megjelenése sokakat emlékeztet a WSL-re (Windows Subsystem for Linux), amelyet azért hoztak létre, hogy a felhasználók Linuxot futtathassanak a Windows rendszeren. Azonban vannak olyan aggodalmak is, hogy a WSL a rosszfiúk kezébe is kerülhet, és olyan hibákat hozhat elő, amelyekre korábban nem volt példa.

A BlackLotus azonban nem csak azért érdekes, mert képes átjutni a Windows védelmén, hanem mert képes feltelepülni az UEFI-be is. Az UEFI az egy új generációs BIOS, amely biztonságosabb és rugalmasabb, mint elődje. Azonban a BlackLotus bizonyítja, hogy semmi sem 100%-osan biztonságos.

A BlackLotus nem csak az UEFI-be való bejutása miatt érdekes, hanem azért is, mert az általa keltett HTTP forgalommal kommunikál az internetre. Ez azt jelenti, hogy a fertőzött gép "titkos" parancsokat kaphat a támadóktól, akik így távolról is képesek elérni és irányítani a rendszert.

Az Eset elemzői szerint a BlackLotus a BlackEnergy csoport munkája lehet, amely korábban már felelős volt más, súlyos károkat okozó kártevőkért is, például az Ukrajnában talált BlackEnergy 3 és KillDisk.

Az Eset szerint a BlackLotus már 2019-ben is aktív volt, azonban csak most került napvilágra. A kártevő célja, mint a legtöbb hasonló programnak, az adatszerzés és a rendszer irányítása. Azonban az UEFI-be való bejutás miatt a BlackLotus sokkal nehezebben azonosítható és eltávolítható, mint más kártevők.

A BlackLotus tehát egy újabb figyelmeztetés arra, hogy semmi sem biztonságos 100%-ban. A felhasználóknak érdemes odafigyelniük a biztonsági beállításaikra, a frissítésekre és a megbízható forrásokból származó szoftverek használatára. Emellett azonban a fejlesztőknek is folyamatosan dolgozniuk kell a biztonságosabb rendszerek létrehozásán, amelyeket még a legtapasztaltabb hackerek sem képesek feltörni.

Azonban az ESET által felfedezett BlackLotus kártevő újabb bizonyíték arra, hogy a kibertámadók képesek kihasználni az egyre összetettebb rendszerekben rejlő sebezhetőségeket. Az UEFI-be történő beépülés pedig egy olyan területet érint, amely korábban relatíve biztonságosnak számított.

A BlackLotus kártevő ráadásul az egyik legnehezebben észrevehető és eltávolítható fenyegetés, amely jelenleg is ismert. Az ESET jelentése szerint a kártevő képes átírni az UEFI-t és TPM-et úgy, hogy az újraindítások és a formázás sem segít a megszabadulásban. A kártevő egy olyan titkosítási módszert alkalmaz, amely lehetővé teszi számára, hogy az adatokat megőrizze, még akkor is, ha a tároló meghajtók teljesen üresnek látszanak.

Az ESET kutatói szerint a BlackLotus kártevő leginkább azokat az áldozatokat veszélyezteti, akik olyan érzékeny adatokat tárolnak a számítógépükön, amelyeket a támadók megpróbálnak megszerezni. Ilyen lehetnek például kormányzati, katonai vagy gazdasági szervezetek, illetve nagyvállalatok.

Erről esetleg egy cikket?

Értékelés: 

0
Még nincs értékelve

#3.2.1 https://www.microsoft.com/en-us/security/blog/2023/04/11/guidance-for-investigating-attacks-using-cve-2022-21894-the-blacklotus-campaign/