Новости Microsoft рассказывает, как защититься от одного из наиболее опасных вирусов

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Корпорация выпустила рекомендации по защите от UEFI-буткита BlackLotus.


il0q2qj07u2sb326dpj5k8nuve21dg13.jpg


Microsoft выпустило Для просмотра ссылки Войди или Зарегистрируйся , которое поможет организациям проверить заражение корпоративных компьютеров Для просмотра ссылки Войди или Зарегистрируйся через уязвимость CVE-2022-21894.

Организации и частные лица также могут воспользоваться рекомендациями Microsoft для восстановления после атаки и предотвращения установления постоянства хакеров и уклонения от обнаружения.

BlackLotus использует уязвимость CVE-2022-21894 (Baton Drop), чтобы Для просмотра ссылки Войди или Зарегистрируйся . Microsoft устранила эту уязвимость ещё в январе прошлого года, но из-за того, что не все следят за актуальностью своего программного обеспечения, миллионы компьютеров всё ещё уязвимы перед BlackLotus.

Вредоносное ПО для UEFI особенно сложно обнаружить, поскольку такое ПО запускается до запуска операционной системы и может развертывать полезные нагрузки на ранних этапах процесса загрузки системы, чтобы отключить механизмы безопасности.

Анализируя устройства, скомпрометированные с помощью BlackLotus, группа реагирования на инциденты Microsoft выявила несколько признаков в процессе установки и запуска буткита , которые позволяют его обнаружить.

Исследователи отмечают, что защитники могут искать следующие артефакты для определения заражения UEFI-буткитом BlackLotus:

  • Недавно созданные и заблокированные файлы загрузчика;
  • Наличие промежуточного каталога, используемого во время установки BlackLotus, в файловой системе EPS:/;
  • Изменение ключа реестра для обеспечения целостности кода, защищенного гипервизором (HVCI);
  • Сетевые журналы;
  • Журналы конфигурации загрузки.
Одной из возможностей BlackLotus является отключение целостности кода, защищенного гипервизором (HVCI), что позволяет загружать неподписанный код ядра.

Также BlackLotus отключает Защитник Windows, что может отобразиться журналах событий Windows в виде записи в «Microsoft-Windows-Windows Defender/Operational Log».


l0qax8g6mkee8eep2o1azsu033bd6cc3.png


BlackLotus отключает Защитник Windows

Отключение Защитника также может создать событие с кодом «7023» в журнале системных событий в результате неожиданной остановки службы.

Microsoft порекомендовала ИБ-специалистам проверять сетевые журналы на наличие исходящих подключений от «winlogon.exe» через порт 80 – это указывает на то, что BlackLotus пытается связаться с сервером управления и контроля (C2, C&C).

Кроме того, следы BlackLotus могут присутствовать в журналах конфигурации загрузки — журналах «MeasuredBoot», в которых содержится подробная информация о процессе загрузки Windows. Когда буткит становится активным, становятся доступными два загрузочных драйвера (grubx64.efi и winload.efi). Сравнивая журналы для каждой перезагрузки системы, аналитики могут найти компоненты, которые были добавлены или удалены при каждой загрузке машины.


rl39np7l4l3isvyooj8308sv042mbwhs.png


Компоненты буткита BlackLotus UEFI в журналах MeasuredBoot

Microsoft предупреждает, что доступ к файлам журнала MeasuredBoot возможен с помощью криминалистического образа или инструмента для чтения исходной файловой системы NTFS. Данные можно прочитать после декодирования и преобразования в формат файла XML или JSON.

Ниже приведен пример драйверов BlackLotus, показанных демонстрационным скриптом на зараженной машине:


vi0wx3hbriitchj65elggughaemqu3jz.png


Демонстрационный скрипт показывает загрузочные компоненты на машине, зараженной BlackLotus

Предотвращение заражения BlackLotus

Для очистки машины после заражения BlackLotus необходимо удалить ее из сети и переустановить с чистой операционной системой и разделом EFI или восстановить из чистой резервной копии с разделом EFI.

Стоит отметить, что для запуска BlackLotus злоумышленнику требуется привилегированный доступ к целевой машине. Чтобы предотвратить заражение через BlackLotus или другое вредоносное ПО, использующее CVE-2022-21894, Microsoft рекомендует организациям применять принцип наименьших привилегий и использовать надёжные учетные данные.
 
Источник новости
www.securitylab.ru

Похожие темы