TechSpot bo kmalu praznoval svojo 25. obletnico. TechSpot pomeni tehnično analizo in nasvet, ki mu lahko zaupate.
Kaj se je pravkar zgodilo? Nekaj mesecev po tem, ko so raziskovalci odkrili nevarno, „nevidno” grožnjo, ki jo predstavlja BlackLotus, Microsoft zdaj preiskovalcem in sistemskim skrbnikom daje podrobna navodila glede znakov, ki kažejo na trajajočo okužbo.
BlackLotus je vsemogočen zagonski komplet UEFI, nedavno odkrit „v divjini”, varnostna grožnja, opremljena z zelo naprednimi zmogljivostmi in zasnovana tako, da se spremeni v nevidnega duha znotraj popolnoma posodobljenega stroja Windows. Čeprav je okužba dejansko pregledna za običajno uporabo, imajo raziskovalci in analitiki zdaj dovolj znanja o sistemskih spremembah, ki jih prinaša zlonamerna programska oprema.
Microsoft je sestavil smernice za preiskovanje (in seveda odkrivanje) kampanje BlackLotus, ki je najprej zasnovana za izkoriščanje varnostne napake CVE-2022-21894 (»ranljivost obhoda varnostne funkcije varnega zagona«), ki jo je januarja 2022 odpravil Redmond. Zagonski kompleti UEFI so še posebej nevarni, saj se zaženejo ob zagonu računalnika, preden se naloži operacijski sistem, pojasnjuje Microsoft, zato lahko motijo ali deaktivirajo različne varnostne mehanizme OS.
V skladu z Microsoftovim vodnikom morajo raziskovalci in skrbniki preiskati določene (skrite) dele namestitve sistema Windows, da prepoznajo sledi okužbe z BlackLotusom. Sporočilni znaki prisotnosti zagonskega kompleta vključujejo nedavno ustvarjene in zaklenjene zagonske datoteke, uprizoritveni imenik, uporabljen med namestitvijo BlackLotus, spremembe registrskega ključa za onemogočanje funkcije Hypervisor-protected Code Integrity (HVCI) ter omrežne in zagonske dnevnike.
Da bi raziskali morebitne spremembe zagonskega procesa, Microsoft pravi, da morajo „lovci na grožnje” najprej namestiti sistemsko particijo EFI, ki je običajno skrita pred vsakodnevno uporabo sistema Windows. Nato morajo preveriti datum spremembe datotek EFI, zaščitenih z gonilnikom jedra BlackLotus, ter poiskati neujemanja med prejšnjimi in najnovejšimi datotekami. Nedavni bi bili verjetno povezani z okužbo z bootkitom.
Okužbo BlackLotus je mogoče zaznati tudi z iskanjem mape »system32« znotraj particije EFI, ki je mesto, kjer se začne namestitev zlonamerne programske opreme. BlackLotus prav tako spremeni register Windows, da onemogoči HVCI, medtem ko se protivirusni program Defender ne zažene več. Preiskovalci lahko iščejo sledi v dnevnikih dogodkov sistema Windows, vključno z dogodkom »ID 7023«, ustvarjenim, ko se storitev zaščite v realnem času Defender ustavi »iz neznanega razloga«.
Dnevniki odhodnih povezav iz winlogon.exe na vratih 80 lahko tudi razkrijejo prisotnost BlackLotusa na računalniku, saj nalagalnik HTTP, vstavljen v bootkit, poskuša doseči strežnik za ukaze in nadzor ali izvesti „odkrivanje konfiguracije omrežja”. Ko bootkit postane aktiven, Microsoft pojasnjuje, da sta dva nova zagonska gonilnika („grubx64.efi,” „winload.efi”) vidna s primerjavo dnevnikov.
Microsoft ponuja tudi navodila, kako preprečiti in odstraniti okužbo z BlackLotus. Preprečevanje je najboljša rešitev proti tradicionalnim in nevidnim grožnjam, predlaga Microsoft, sistemski skrbniki pa bi se morali najprej izogniti uporabi storitvenih računov na ravni skrbnika za celotno domeno z omejitvijo lokalnih skrbniških pravic. Uvedba večplastnih varnostnih kontrol je edina strategija, ki lahko zmanjša tveganja, medtem ko je razkuževanje mogoče izvesti, vendar zahteva skrbno ponovno namestitev čistega operacijskega sistema, particije EFI in vdelane programske opreme UEFI.