Microsoft publikuje przewodnik dotyczący bezpiecznego rozruchu systemu Windows, programu Defender, VBS, funkcji BitLocker z pominięciem BlackLotus

W zeszłym miesiącu WeLiveSecurity, dział badań nad bezpieczeństwem zajmujący się rozwiązaniami ESET do ochrony przed złośliwym oprogramowaniem, opublikował raport na temat luki w zabezpieczeniach BlackLotus .

Jeśli nie wiesz, BlackLotus to bootkit UEFI, a tym, co czyni to złośliwe oprogramowanie szczególnie niebezpiecznym, jest jego zdolność do omijania systemów bezpiecznego rozruchu nawet w zaktualizowanych systemach Windows 11. Poza tym BlackLotus wprowadza również modyfikacje w rejestrze, aby wyłączyć integralność kodu chronioną przez Hypervisor (HVCI), która jest funkcją zabezpieczeń opartych na wirtualizacji (VBS); a także szyfrowanie BitLocker. Wyłącza również usługę Windows Defender, manipulując sterownikiem Early Launch Anti-Malware (ELAM) i sterownikiem filtru systemu plików Windows Defender. Ostatecznym celem jest wdrożenie narzędzia do pobierania HTTP, które dostarcza szkodliwe ładunki.

Chociaż luka w zabezpieczeniach nazwana „Baton Drop” (CVE-2022-21894) została załatana rok temu, nadal jest wykorzystywana, ponieważ podpisane pliki binarne nie zostały jeszcze dodane do listy odwołań UEFI. W niedawno opublikowanych wskazówkach Microsoft podsumował złośliwe działania, które wykonuje BlackLotus po tym, jak udało mu się zaatakować:

Złośliwe oprogramowanie wykorzystuje lukę CVE-2022-21894 (znaną również jako Baton Drop), aby ominąć Bezpieczny rozruch systemu Windows, a następnie rozmieścić złośliwe pliki na partycji systemowej EFI (ESP), które są uruchamiane przez oprogramowanie układowe UEFI. Dzięki temu bootkit może:

1. Osiągnij trwałość, rejestrując klucz właściciela maszyny (MOK) ugrupowania cyberprzestępczego
2. Wyłącz HVCI, aby umożliwić wdrożenie złośliwego sterownika jądra
3. Wykorzystaj sterownik jądra do wdrożenia narzędzia do pobierania HTTP w trybie użytkownika na potrzeby dowodzenia i kontroli (C2)
4. Wyłącz funkcję Bitlocker, aby uniknąć strategii ochrony przed manipulacją w systemie Windows
5. Wyłącz program antywirusowy Microsoft Defender, aby uniknąć dalszego wykrywania

W swoich wytycznych gigant technologiczny szczegółowo omówił techniki określania, czy urządzenia w organizacji są zainfekowane, a także strategie odzyskiwania i zapobiegania. Można go przeczytać na oficjalnej stronie Microsoftu .