Microsoft выпустило руководство , которое поможет организациям проверить заражение корпоративных компьютеров UEFI-буткитом BlackLotus через уязвимость CVE-2022-21894.
Организации и частные лица также могут воспользоваться рекомендациями Microsoft для восстановления после атаки и предотвращения установления постоянства хакеров и уклонения от обнаружения.
BlackLotus использует уязвимость CVE-2022-21894 (Baton Drop), чтобы обойти защиту UEFI Secure Boot и настроить своё постоянство в компьютере жертвы . Microsoft устранила эту уязвимость ещё в январе прошлого года, но из-за того, что не все следят за актуальностью своего программного обеспечения, миллионы компьютеров всё ещё уязвимы перед BlackLotus.
Вредоносное ПО для UEFI особенно сложно обнаружить, поскольку такое ПО запускается до запуска операционной системы и может развертывать полезные нагрузки на ранних этапах процесса загрузки системы, чтобы отключить механизмы безопасности.
Анализируя устройства, скомпрометированные с помощью BlackLotus, группа реагирования на инциденты Microsoft выявила несколько признаков в процессе установки и запуска буткита, которые позволяют его обнаружить.
Исследователи отмечают, что защитники могут искать следующие артефакты для определения заражения UEFI-буткитом BlackLotus:
- Недавно созданные и заблокированные файлы загрузчика;
- Наличие промежуточного каталога, используемого во время установки BlackLotus, в файловой системе EPS:/;
- Изменение ключа реестра для обеспечения целостности кода, защищенного гипервизором (HVCI);
- Сетевые журналы;
- Журналы конфигурации загрузки.
Одной из возможностей BlackLotus является отключение целостности кода, защищенного гипервизором (HVCI), что позволяет загружать неподписанный код ядра.
Также BlackLotus отключает Защитник Windows, что может отобразиться журналах событий Windows в виде записи в “Microsoft-Windows-Windows Defender/Operational Log”.
BlackLotus отключает Защитник Windows
Отключение Защитника также может создать событие с кодом “7023” в журнале системных событий в результате неожиданной остановки службы.
Microsoft порекомендовала ИБ-специалистам проверять сетевые журналы на наличие исходящих подключений от “winlogon.exe” через порт 80 – это указывает на то, что BlackLotus пытается связаться с сервером управления и контроля (C2, C&C).
Кроме того, следы BlackLotus могут присутствовать в журналах конфигурации загрузки – журналах “MeasuredBoot”, в которых содержится подробная информация о процессе загрузки Windows. Когда буткит становится активным, становятся доступными два загрузочных драйвера (grubx64.efi и winload.efi). Сравнивая журналы для каждой перезагрузки системы, аналитики могут найти компоненты, которые были добавлены или удалены при каждой загрузке машины.
Компоненты буткита BlackLotus UEFI в журналах MeasuredBoot
Microsoft предупреждает, что доступ к файлам журнала MeasuredBoot возможен с помощью криминалистического образа или инструмента для чтения исходной файловой системы NTFS. Данные можно прочитать после декодирования и преобразования в формат файла XML или JSON.
Ниже приведен пример драйверов BlackLotus, показанных демонстрационным скриптом на зараженной машине:
Демонстрационный скрипт показывает загрузочные компоненты на машине, зараженной BlackLotus
Предотвращение заражения BlackLotus
Для очистки машины после заражения BlackLotus необходимо удалить ее из сети и переустановить с чистой операционной системой и разделом EFI или восстановить из чистой резервной копии с разделом EFI.
Стоит отметить, что для запуска BlackLotus злоумышленнику требуется привилегированный доступ к целевой машине. Чтобы предотвратить заражение через BlackLotus или другое вредоносное ПО, использующее CVE-2022-21894, Microsoft рекомендует организациям применять принцип наименьших привилегий и использовать надёжные учетные данные.