美国国家安全局 (NSA) 周四发布了指南，帮助组织检测和预防名为BlackLotus的统一可扩展固件接口 ( UEFI ) 启动套件的感染。

为此，该机构建议“基础设施所有者采取行动，强化用户可执行策略并监控启动分区的完整性。”

BlackLotus 是一种先进的犯罪软件解决方案，卡巴斯基于 2022 年 10 月首次重点关注。该恶意软件样本是一种能够绕过 Windows 安全启动保护的 UEFI bootkit，现已在野外出现。

这是通过利用一个名为 Baton Drop（CVE-2022-21894，CVSS 评分：4.4）的已知 Windows 缺陷来实现的，该缺陷是在未添加到安全引导 DBX 撤销列表中的易受攻击的引导加载程序中发现的。Microsoft 于 2022 年 1 月修复了该漏洞。

威胁行为者可能会利用此漏洞，用易受攻击的版本替换完全修补的引导加载程序，并在受感染的端点上执行 BlackLotus。

像 BlackLotus 这样的UEFI bootkit授予威胁行为者对操作系统启动过程的完全控制权，从而可以干扰安全机制并以提升的权限部署额外的有效负载。

值得注意的是，BlackLotus 不是固件威胁，而是在启动过程的最早软件阶段进行磨练，以实现持久性和规避。没有证据表明该恶意软件针对 Linux 系统。

ESET 研究人员 Martin Smolár 在 2023 年 3 月对 BlackLotus 的分析中表示：“与固件植入相比，UEFI Bootkit 可能会失去隐秘性，因为 Bootkit 位于易于访问的 FAT32 磁盘分区上。”

“但是，作为引导加载程序运行为它们提供了与固件植入几乎相同的功能，但无需克服多级 SPI 闪存防御，例如 BWE、BLE 和 PRx 保护位，或硬件提供的保护（例如 Intel Boot）警卫）。”

除了应用Microsoft 的 2023 年 5 月补丁星期二更新（该更新解决了 BlackLotus 所利用的第二个安全启动绕过缺陷（CVE-2023-24932，CVSS 评分：6.7））之外，还建议组织执行以下缓解步骤-