Microsoft veröffentlicht Anleitung für Windows Secure Boot, Defender, VBS, BitLocker-Umgehung von BlackLotus

Im vergangenen Monat veröffentlichte WeLiveSecurity, der Sicherheitsforschungszweig der Anti-Malware-Lösungen von ESET, seinen Bericht über die Sicherheitslücke BlackLotus .

Falls Sie es nicht wissen, BlackLotus ist ein UEFI-Bootkit, und was diese Malware besonders gefährlich macht, ist ihre Fähigkeit, Secure Boot-Systeme sogar auf aktualisierten Windows 11-Systemen zu umgehen. Darüber hinaus nimmt BlackLotus auch Änderungen an der Registrierung vor, um die Hypervisor-geschützte Codeintegrität (HVCI) zu deaktivieren, bei der es sich um eine virtualisierungsbasierte Sicherheitsfunktion (VBS) handelt. sowie BitLocker-Verschlüsselung. Außerdem wird Windows Defender deaktiviert, indem der ELAM-Treiber (Early Launch Anti-Malware) und der Windows Defender-Dateisystemfiltertreiber manipuliert werden. Der ultimative Zweck besteht darin, einen HTTP-Downloader bereitzustellen, der die schädlichen Payloads liefert.

Obwohl die Sicherheitslücke mit dem Namen „Baton Drop“ (CVE-2022-21894) vor einem Jahr gepatcht wurde, wird sie immer noch ausgenutzt, da signierte Binärdateien noch nicht zur UEFI-Widerrufsliste hinzugefügt wurden. In einem kürzlich veröffentlichten Leitfaden hat Microsoft die böswilligen Aktivitäten zusammengefasst, die BlackLotus nach einem erfolgreichen Befall durchführt:

Die Malware verwendet CVE-2022-21894 (auch bekannt als Baton Drop), um Windows Secure Boot zu umgehen und anschließend schädliche Dateien auf der EFI-Systempartition (ESP) bereitzustellen, die von der UEFI-Firmware gestartet werden. Dadurch kann das Bootkit:

1. Erzielen Sie Persistenz, indem Sie den Machine Owner Key (MOK) des Bedrohungsakteurs registrieren
2. Deaktivieren Sie HVCI, um die Bereitstellung eines schädlichen Kerneltreibers zuzulassen
3. Nutzung des Kernel-Treibers zur Bereitstellung des Benutzermodus-HTTP-Downloaders für Befehl und Steuerung (C2)
4. Deaktivieren Sie Bitlocker, um Manipulationsschutzstrategien unter Windows zu vermeiden
5. Deaktivieren Sie Microsoft Defender Antivirus, um eine weitere Erkennung zu vermeiden

In seinem Leitfaden hat der Technologieriese ausführlich die Techniken zur Feststellung, ob die Geräte in einer Organisation infiziert sind, sowie Wiederherstellungs- und Präventionsstrategien behandelt. Sie können es auf der offiziellen Website von Microsoft lesen .