Microsoft 發布 Windows 安全啟動、Defender、VBS、BitLocker 繞過 BlackLotus 的指南
上個月,ESET 反惡意軟件解決方案的安全研究部門 WeLiveSecurity 發布了關於BlackLotus 安全漏洞的報告。
如果您不知道,BlackLotus 是一個 UEFI bootkit,這個惡意軟件特別危險的原因是它能夠繞過安全啟動系統,即使在更新的 Windows 11 系統上也是如此。除此之外,BlackLotus 還對註冊表進行了修改,以禁用 Hypervisor-protected Code Integrity (HVCI),這是一種基於虛擬化的安全 (VBS) 功能;以及 BitLocker 加密。它還通過操縱早期啟動反惡意軟件 (ELAM) 驅動程序和 Windows Defender 文件系統篩選器驅動程序來禁用 Windows Defender。最終目的是部署一個 HTTP 下載器來傳送惡意負載。
儘管名為“Baton Drop”(CVE-2022-21894) 的安全漏洞已在一年前修復,但由於已簽名的二進製文件尚未添加到 UEFI 吊銷列表中,該漏洞仍在被利用。在最近發布的一份指南中,微軟總結了 BlackLotus 在成功感染後所做的惡意活動:
該惡意軟件使用 CVE-2022-21894(也稱為 Baton Drop)繞過 Windows 安全啟動,隨後將惡意文件部署到由 UEFI 固件啟動的 EFI 系統分區 (ESP)。這允許 bootkit 能夠:
- 通過註冊威脅參與者的機器所有者密鑰 (MOK) 來實現持久性
- 關閉 HVCI 以允許部署惡意內核驅動程序
- 利用內核驅動程序部署用於命令和控制的用戶模式 HTTP 下載器 (C2)
- 關閉 Bitlocker 以避免 Windows 上的篡改保護策略
- 關閉 Microsoft Defender 防病毒軟件以避免進一步檢測
在其指南中,這家科技巨頭詳細介紹了確定組織中的設備是否被感染的技術,以及恢復和預防策略。你可以在微軟官方網站上閱讀。
發佈留言