Как защититься от UEFI- буткита BlackLotus, который отключает функции безопасности Microsoft Defender, HVCI, BitLocker

2023-04-13 10680 комментарии
Корпорация Microsoft поделилась рекомендациями по предотвращению атак с использованием UEFI- буткита BlackLotus и уязвимости CVE-2022-21894 в Windows, которые отключают функцию безопасности HVCI и встроенный антивирус Microsoft Defender

Организации и пользователи могут воспользоваться инструкциями Microsoft, чтобы восстановить системы после атаки или предотвратить заражение своих устройств.

Вредоносное ПО BlackLotus было доступно на хакерских форумах с прошлого года и позиционировалось как стойкий зловред, уклоняющийся от обнаружения антивирусом и попыток удаления. Согласно описанию, буткит может отключать различные функции безопасности, например Microsoft Defender, HVCI, BitLocker. Стоимость его лицензии составляет 5000 долларов, а обновления доступны за отдельную плату — 200 долларов.

Возможности зловреда были подтверждены в начале марта исследователями компании ESET, которые отметили, что вредоносное ПО работает именно так, как рекламируется.

Признаки заражения BlackLotus

Вредоносное ПО, предназначенное для Unified Extensible Firmware Interface (UEFI), очень сложно обнаружить. Эти угрозы запускаются еще до полной загрузки операционной системы и могут развертывать полезные нагрузки на ранних этапах процесса загрузки с целью отключения механизмов защиты.

При анализе скомпрометированных BlackLotus устройств, группа реагирования на инциденты Microsoft (Microsoft Incident Response team) обнаружила несколько возможностей для обнаружения угрозы.

Исследователи отмечают, что средства безопасности могут обращать внимание на следующие артефакты для определения заражения UEFI-буткитом BlackLotus:

  • Недавно созданные и заблокированные файлы загрузчика.
  • Наличие промежуточного каталога, использованного во время установки BlackLotus, в файловой системе EPS:/.
  • Изменение ключа реестра для обеспечения целостности кода, защищенного гипервизором (HVCI).
  • Сетевые журналы.
  • Журналы конфигурации загрузки.

Анализ загрузочного раздела

Чтобы записать вредоносные файлы загрузчика в системный раздел EFI (ESP) или ESP, BlackLotus предварительно блокирует их для предотвращения удаления или внесения изменений.

Недавно измененные и заблокированные файлы в расположении ESP, особенно если они совпадают с известными именами файлов загрузчика BlackLotus, «должны рассматриваться как крайне подозрительные». В случае их обнаружения рекомендуется отключить устройства от сети и проверить их на наличие активности, связанной с BlackLotus.

Microsoft рекомендует использовать утилиту командной строки mountvol для монтирования загрузочного раздела и проверки даты создания файлов, несовпадающих с текущим временем.

Чтобы смонтировать раздел ESP, выполните следующую команду в командной строке с правами администратора:

mountvol[свободная буква для диска] /s

Например, если буква диска G не занята, вы можете выполнить следующую команду:

mountvol g: /s

Если время изменения файла не вызывает подозрений, то исследователи могут попробовать вычислить хэш-сумму файла загрузчика. На скомпрометированном устройстве при попытке доступа к файлам должна появляться ошибка, так как BlackLotus блокирует эти операции, чтобы предотвратить подмену своих файлов.

Еще одним признаком BlackLotus является наличие каталога «/system32/» в ESP, который используется для хранения файлов, необходимых для установки вредоносного ПО UEFI.

Компоненты вредоносного ПО BlackLotus UEFI в разделе EFI

Microsoft заявляет, что успешная установка BlackLotus приводит к удалению файлов внутри «ESP:/system32/», но сам каталог остается. Эта директория может использоваться специалистами для поиска удаленных файлов.

Анализ реестра, журналов и данных использования сети

Одна из возможностей BlackLotus заключается в отключении защиты целостности кода на основе гипервизора (HVCI), что позволяет загружать неподписанный код ядра.

Это достигается путем изменения значения параметра Enabled ключа реестра HVCI на 0 (ноль).

UEFI- буткит BlackLotus отключает функцию безопасности HVCI

Второй функцией безопасности, которую отключает BlackLotus, является антивирус Microsoft Defender, который является антивирусной программой по умолчанию в Windows.

Это действие может оставить следы в журналах событий Windows в виде записей в разделе Журнал приложений и служб > Microsoft > Windows Defender > Operational.

UEFI- буткит BlackLotus отключает антивирус Microsoft Defender

Отключение Защитника также может создать событие с кодом 7023 в журнале системных событий в результате неожиданной остановки службы.

Эксперты Microsoft советуют системным администраторам и специалистам по безопасности проверять сетевые журналы на наличие исходящих подключений через порт 80 от winlogon.exe, что может указывать на попытки BlackLotus связаться со своим сервером управления и контроля (C2).

Microsoft отмечает:

Это происходит благодаря встроенной функции HTTP-загрузчика BlackLotus, которая подключается к C2-серверу или проводит обнаружение сетевой конфигурации.

Также возможны дополнительные свидетельства компрометации BlackLotus в журналах конфигурации загрузки MeasuredBoot, где содержится информация о процессе загрузки Windows.

При активации буткита становятся доступными два загрузочных драйвера: grubx64.efi и winload.efi. За счет анализа журналов каждой перезагрузки можно определить компоненты, которые добавлялись или удалялись при каждом перезапуске системы.

Компоненты UEFI- буткита BlackLotus в журнале MeasuredBoot

Microsoft предупреждает о возможности доступа к файлам журнала MeasuredBoot с помощью специализированных утилит или инструмента для чтения исходной файловой системы NTFS.

Данные можно прочитать после декодирования и преобразования в формат файла XML или JSON. Компания предоставляет пример сценария на основе TCGLogTools с открытым исходным кодом для анализа и извлечения журналов.

Ниже приведен пример драйверов BlackLotus, показанных демонстрационным скриптом на зараженной машине:

Скрипт показывает компоненты загрузки на машине, зараженной BlackLotus

Как защититься от заражения BlackLotus

Чтобы очистить устройство от BlackLotus, необходимо изолировать компьютер от сети и выполнить переустановку операционной системы с новым разделом EFI, либо восстановить чистую резервную копию с разделом EFI.

Хотя многие признаки присутствия угрозы обнаруживаются только после заражения, есть шанс предотвратить компрометацию, если распознать вторжение до того, как злоумышленник сможет развернуть буткит.

Для запуска UEFI-буткита UEFI требуется привилегированный удаленный или физический доступ к целевой машине, а это означает, что стойкое заражение могло стать вторым этапом атаки после первоначального инфицирования устройства.

Microsoft советует организациям принимать меры для предотвращения заражения BlackLotus или другим вредоносным ПО, использующим уязвимость CVE-2022-21894, в том числе использовать принцип наименьших привилегий и цифровой гигиены учетных данных.

Microsoft рекомендует:

Избегайте использования служебных учетных записей на уровне домена и администратора. Ограничение привилегий локального администратора может помочь ограничить установку троянов удаленного доступа (RAT) и других нежелательных приложений.

Организации могут снизить риск получения злоумышленником доступа или административных привилегий в среде, внедряя несколько уровней управления безопасностью — так называемые стратегии глубокой защиты.

Это позволит остановить атаку BlackLotus на более ранних стадиях, прежде чем злоумышленник сможет скомпрометировать учетные данные пользователя или учетной записи службы, перемещаться в сети и повышать свои привилегии.

© . По материалам Bleeping Computer
Комментарии и отзывы

Нашли ошибку?

Новое на сайте