Microsoft 發布 Windows 安全啟動、Defender、VBS、BitLocker 繞過 BlackLotus 的指南

Microsoft 發布 Windows 安全啟動、Defender、VBS、BitLocker 繞過 BlackLotus 的指南

上個月,ESET 反惡意軟件解決方案的安全研究部門 WeLiveSecurity 發布了關於BlackLotus 安全漏洞的報告。

如果您不知道,BlackLotus 是一個 UEFI bootkit,這個惡意軟件特別危險的原因是它能夠繞過安全啟動系統,即使在更新的 Windows 11 系統上也是如此。除此之外,BlackLotus 還對註冊表進行了修改,以禁用 Hypervisor-protected Code Integrity (HVCI),這是一種基於虛擬化的安全 (VBS) 功能;以及 BitLocker 加密。它還通過操縱早期啟動反惡意軟件 (ELAM) 驅動程序和 Windows Defender 文件系統篩選器驅動程序來禁用 Windows Defender。最終目的是部署一個 HTTP 下載器來傳送惡意負載。

儘管名為“Baton Drop”(CVE-2022-21894) 的安全漏洞已在一年前修復,但由於已簽名的二進製文件尚未添加到 UEFI 吊銷列表中,該漏洞仍在被利用。在最近發布的一份指南中,微軟總結了 BlackLotus 在成功感染後所做的惡意活動:

該惡意軟件使用 CVE-2022-21894(也稱為 Baton Drop)繞過 Windows 安全啟動,隨後將惡意文件部署到由 UEFI 固件啟動的 EFI 系統分區 (ESP)。這允許 bootkit 能夠:

  1. 通過註冊威脅參與者的機器所有者密鑰 (MOK) 來實現持久性
  2. 關閉 HVCI 以允許部署惡意內核驅動程序
  3. 利用內核驅動程序部署用於命令和控制的用戶模式 HTTP 下載器 (C2)
  4. 關閉 Bitlocker 以避免 Windows 上的篡改保護策略
  5. 關閉 Microsoft Defender 防病毒軟件以避免進一步檢測

在其指南中,這家科技巨頭詳細介紹了確定組織中的設備是否被感染的技術,以及恢復和預防策略。你可以在微軟官方網站上閱讀。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *