مایکروسافت نحوه تشخیص عفونت بوت کیت BlackLotus UEFI را توضیح می دهد

BlackLotus یک بوت کیت قدرتمند UEFI است که اخیراً “در طبیعت” کشف شده است، یک تهدید امنیتی مجهز به قابلیت های بسیار پیشرفته و طراحی شده برای تبدیل خود به یک روح نامرئی در یک دستگاه ویندوز کاملاً به روز شده. حتی اگر عفونت به طور موثر برای استفاده عادی شفاف است، محققان و تحلیلگران در حال حاضر اطلاعات کافی در مورد تغییرات سیستم ایجاد شده توسط بدافزار دارند.

گزارش‌های اتصالات خروجی از winlogon.exe در پورت 80 نیز می‌توانند حضور BlackLotus را در دستگاه نشان دهند، زیرا بارکننده HTTP تزریق شده بوت‌کیت سعی می‌کند به سرور فرمان و کنترل برسد یا “کشف پیکربندی شبکه” را انجام دهد. مایکروسافت توضیح می دهد که وقتی بوت کیت فعال می شود، دو درایور جدید بوت (“grubx64.efi”، “winload.efi”) با مقایسه گزارش ها قابل مشاهده هستند.

طبق راهنمای مایکروسافت، محققان و مدیران باید بخش‌های خاص (پنهان) نصب ویندوز را جستجو کنند تا سرنخ‌هایی از عفونت BlackLotus را شناسایی کنند. نشانه‌های آشکار حضور بوت‌کیت شامل فایل‌های بوت اخیر ایجاد شده و قفل‌شده، یک فهرست راه‌اندازی مورد استفاده در هنگام نصب BlackLotus، تغییرات کلید رجیستری برای غیرفعال کردن ویژگی کد یکپارچگی محافظت شده توسط Hypervisor (HVCI) و گزارش‌های شبکه و بوت است.

عفونت BlackLotus همچنین می تواند با جستجوی یک پوشه “system32” در پارتیشن EFI، که محلی است که نصب بدافزار شروع شده است، شناسایی شود. BlackLotus همچنین رجیستری ویندوز را تغییر می دهد تا HVCI غیرفعال شود، در حالی که آنتی ویروس Defender دیگر راه اندازی نمی شود. محققان می‌توانند ردیابی‌هایی را در گزارش رویدادهای ویندوز جستجو کنند، از جمله رویداد «ID 7023» که هنگام توقف سرویس حفاظتی بلادرنگ Defender «به دلیل نامعلوم» ایجاد می‌شود.

بخونید:  گره 3 نانومتری GAA سامسونگ دارای نرخ بازدهی در حدود 70 درصد است

مایکروسافت راهنمایی برای بررسی (و البته شناسایی) کمپین BlackLotus، که برای اولین بار برای سوء استفاده از نقص امنیتی CVE-2022-21894 (“آسیب پذیری دور زدن ویژگی امنیتی بوت امن”) طراحی شده است که توسط ردموند در ژانویه 2022 رفع شده است، جمع آوری کرده است. مایکروسافت توضیح می‌دهد که بوت‌کیت‌های UEFI به‌ویژه خطرناک هستند، زیرا هنگام راه‌اندازی رایانه قبل از بارگیری سیستم عامل اجرا می‌شوند، بنابراین می‌توانند با مکانیسم‌های امنیتی مختلف سیستم عامل تداخل یا غیرفعال کنند.

مایکروسافت همچنین دستورالعمل هایی در مورد نحوه جلوگیری و حذف عفونت BlackLotus ارائه می دهد. مایکروسافت پیشنهاد می‌کند که پیشگیری بهترین راه‌حل در برابر تهدیدات سنتی و نامرئی است و مدیران سیستم باید ابتدا از استفاده از حساب‌های سرویس در سطح دامنه و با محدود کردن امتیازات مدیریت محلی خودداری کنند. پیاده‌سازی چندین لایه از کنترل‌های امنیتی تنها استراتژی است که می‌تواند خطرات را کاهش دهد، در حالی که ضدعفونی کردن می‌تواند انجام شود اما نیاز به نصب مجدد دقیق یک سیستم عامل تمیز، پارتیشن EFI و سیستم عامل UEFI دارد.



منبع

مایکروسافت می‌گوید برای بررسی تغییرات احتمالی در فرآیند بوت، «شکارچیان تهدید» ابتدا باید پارتیشن سیستم EFI را که معمولاً از استفاده روزمره ویندوز پنهان است، نصب کنند. سپس آنها باید تاریخ اصلاح فایل‌های EFI را که توسط درایور هسته BlackLotus محافظت می‌شوند، بررسی کنند و به دنبال عدم تطابق بین فایل‌های قبلی و جدیدتر باشند. موارد اخیر احتمالاً با عفونت بوت کیت مرتبط هستند.

چه اتفاقی افتاده؟ ماه ها پس از اینکه محققان تهدید خطرناک و “نامرئی” ناشی از بلک لوتوس را کشف کردند، مایکروسافت اکنون به محققان و سای سادمین ها راهنمایی دقیقی در مورد علائم آشکار عفونت مداوم ارائه می دهد.

بخونید:  Linus Torvalds suggests disabling AMD's 'stupid' fTPM to solve a persistent stuttering issue