Корпорация выпустила рекомендации по защите от UEFI-буткита BlackLotus.
Microsoft выпустило
Организации и частные лица также могут воспользоваться рекомендациями Microsoft для восстановления после атаки и предотвращения установления постоянства хакеров и уклонения от обнаружения.
BlackLotus использует уязвимость CVE-2022-21894 (Baton Drop), чтобы
Вредоносное ПО для
Анализируя устройства, скомпрометированные с помощью BlackLotus, группа реагирования на инциденты Microsoft выявила несколько признаков в процессе установки и запуска
Исследователи отмечают, что защитники могут искать следующие артефакты для определения заражения UEFI-буткитом BlackLotus:
Одной из возможностей BlackLotus является отключение целостности кода, защищенного гипервизором (HVCI), что позволяет загружать неподписанный код ядра.
Также BlackLotus отключает Защитник Windows, что может отобразиться журналах событий Windows в виде записи в «Microsoft-Windows-Windows Defender/Operational Log».
Отключение Защитника также может создать событие с кодом «7023» в журнале системных событий в результате неожиданной остановки службы.
Microsoft порекомендовала ИБ-специалистам проверять сетевые журналы на наличие исходящих подключений от «winlogon.exe» через порт 80 – это указывает на то, что BlackLotus пытается связаться с сервером управления и контроля (C2, C&C).
Кроме того, следы BlackLotus могут присутствовать в журналах конфигурации загрузки — журналах «MeasuredBoot», в которых содержится подробная информация о процессе загрузки Windows. Когда буткит становится активным, становятся доступными два загрузочных драйвера (grubx64.efi и winload.efi). Сравнивая журналы для каждой перезагрузки системы, аналитики могут найти компоненты, которые были добавлены или удалены при каждой загрузке машины.
Microsoft предупреждает, что доступ к файлам журнала MeasuredBoot возможен с помощью криминалистического образа или инструмента для чтения исходной файловой системы NTFS. Данные можно прочитать после декодирования и преобразования в формат файла XML или JSON.
Ниже приведен пример драйверов BlackLotus, показанных демонстрационным скриптом на зараженной машине:
Предотвращение заражения BlackLotus
Для очистки машины после заражения BlackLotus необходимо удалить ее из сети и переустановить с чистой операционной системой и разделом EFI или восстановить из чистой резервной копии с разделом EFI.
Стоит отметить, что для запуска BlackLotus злоумышленнику требуется привилегированный доступ к целевой машине. Чтобы предотвратить заражение через BlackLotus или другое вредоносное ПО, использующее CVE-2022-21894, Microsoft рекомендует организациям применять принцип наименьших привилегий и использовать надёжные учетные данные.
Microsoft выпустило
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, которое поможет организациям проверить заражение корпоративных компьютеров
Для просмотра ссылки необходимо нажать
Вход или Регистрация
через уязвимость CVE-2022-21894.Организации и частные лица также могут воспользоваться рекомендациями Microsoft для восстановления после атаки и предотвращения установления постоянства хакеров и уклонения от обнаружения.
BlackLotus использует уязвимость CVE-2022-21894 (Baton Drop), чтобы
Для просмотра ссылки необходимо нажать
Вход или Регистрация
. Microsoft устранила эту уязвимость ещё в январе прошлого года, но из-за того, что не все следят за актуальностью своего программного обеспечения, миллионы компьютеров всё ещё уязвимы перед BlackLotus.Вредоносное ПО для
Для просмотра ссылки необходимо нажать
Вход или Регистрация
особенно сложно обнаружить, поскольку такое ПО запускается до запуска операционной системы и может развертывать полезные нагрузки на ранних этапах процесса загрузки системы, чтобы отключить механизмы безопасности.Анализируя устройства, скомпрометированные с помощью BlackLotus, группа реагирования на инциденты Microsoft выявила несколько признаков в процессе установки и запуска
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, которые позволяют его обнаружить.Исследователи отмечают, что защитники могут искать следующие артефакты для определения заражения UEFI-буткитом BlackLotus:
- Недавно созданные и заблокированные файлы загрузчика;
- Наличие промежуточного каталога, используемого во время установки BlackLotus, в файловой системе EPS:/;
- Изменение ключа реестра для обеспечения целостности кода, защищенного гипервизором (HVCI);
- Сетевые журналы;
- Журналы конфигурации загрузки.
Одной из возможностей BlackLotus является отключение целостности кода, защищенного гипервизором (HVCI), что позволяет загружать неподписанный код ядра.
Также BlackLotus отключает Защитник Windows, что может отобразиться журналах событий Windows в виде записи в «Microsoft-Windows-Windows Defender/Operational Log».
Для просмотра ссылки необходимо нажать
Вход или Регистрация
BlackLotus отключает Защитник Windows
Отключение Защитника также может создать событие с кодом «7023» в журнале системных событий в результате неожиданной остановки службы.
Microsoft порекомендовала ИБ-специалистам проверять сетевые журналы на наличие исходящих подключений от «winlogon.exe» через порт 80 – это указывает на то, что BlackLotus пытается связаться с сервером управления и контроля (C2, C&C).
Кроме того, следы BlackLotus могут присутствовать в журналах конфигурации загрузки — журналах «MeasuredBoot», в которых содержится подробная информация о процессе загрузки Windows. Когда буткит становится активным, становятся доступными два загрузочных драйвера (grubx64.efi и winload.efi). Сравнивая журналы для каждой перезагрузки системы, аналитики могут найти компоненты, которые были добавлены или удалены при каждой загрузке машины.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Компоненты буткита BlackLotus UEFI в журналах MeasuredBoot
Microsoft предупреждает, что доступ к файлам журнала MeasuredBoot возможен с помощью криминалистического образа или инструмента для чтения исходной файловой системы NTFS. Данные можно прочитать после декодирования и преобразования в формат файла XML или JSON.
Ниже приведен пример драйверов BlackLotus, показанных демонстрационным скриптом на зараженной машине:
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Демонстрационный скрипт показывает загрузочные компоненты на машине, зараженной BlackLotus
Предотвращение заражения BlackLotus
Для очистки машины после заражения BlackLotus необходимо удалить ее из сети и переустановить с чистой операционной системой и разделом EFI или восстановить из чистой резервной копии с разделом EFI.
Стоит отметить, что для запуска BlackLotus злоумышленнику требуется привилегированный доступ к целевой машине. Чтобы предотвратить заражение через BlackLotus или другое вредоносное ПО, использующее CVE-2022-21894, Microsoft рекомендует организациям применять принцип наименьших привилегий и использовать надёжные учетные данные.
Для просмотра ссылки необходимо нажать
Вход или Регистрация