Black Lotus: gevaarlijke Uefi-stuurprogrammakit detecteren

De Black Lotus-opstartkit kan worden geïnstalleerd op een pc of laptop waarop Secure Boot is ingeschakeld op Windows 10 en 11, waardoor u eindelijk de volledige controle krijgt over het opstartproces van het besturingssysteem.

Op deze manier kan kwaadaardige code de beveiligingsmechanismen van het besturingssysteem uitschakelen en zichzelf in het geheim installeren in een Windows-besturingssysteem met verhoogde toegangsrechten. Black Lotus maakt onder meer gebruik van de kwetsbaarheid CVE-2022-21894 Niet op zijn plaats.

Antivirussoftwarefabrikant Eset analyseerde het complexe aanvalspad van Black Lotus en presenteerde dit in een stroomdiagram (zie volgende figuur). Uiterlijk juli 2023 circuleert de lanceerkit vrij op internet, ook op Github (www.github.com).

Test: Beste antivirus voor Android

ESET

ESET

ESET

Microsoft verspreidde in 2023 al patches via Windows Update die voorkwamen dat Black Lotus zich ermee bemoeide. Daarnaast heeft Microsoft een gedetailleerd Een gids voor het detecteren van een computer die al is geïnfecteerd met Black Lotus gepubliceerd. Dit verklaart de aanpak van Black Lotus en de onderscheidende kenmerken ervan.

Hoe het zwarte lotusmasker te onthullen

Wanneer Uefi-bootkit een systeem infiltreert met behulp van de CVE-2022-21894-kwetsbaarheid, schakelt het eerst de antivirussoftware uit. Dit is de eerste indicator van een infectie. Bovendien heeft het Microsoft Incident Response Team aanvullende, specifiekere functies geïdentificeerd in het installatie- en implementatieproces van Black Lotus die detectie mogelijk maken. Tekenen van infectie zijn onder meer:

1. Bootloaderbestanden die onlangs zijn aangemaakt en vergrendeld op de Efi-systeempartitie zijn zeer verdachte bestanden, vooral als ze overeenkomen met bekende Black Lotus-bootloadernamen.
2. Er bestaat een tijdelijke map die wordt gebruikt tijdens de installatie van Black Lotus in het bestandssysteem EPS:/.
3. Wijzig de registersleutel Hypervisor Protected Code Integrity (HVCI). Vermeldingen in Windows Event Viewer.
4. Specifieke gebeurtenissen in netwerkgegevens.
5. Vermeldingen in het opstartconfiguratieregister. Om punt 1 te controleren, start u Windows vanuit Geavanceerd opstarten. Dit kan via “Vensterpictogram -> Instellingen -> Systeem -> Herstel -> Geavanceerd opstarten -> Nu opnieuw opstarten”. Sla uw werk vooraf op en sluit alle geopende programma’s. Na het opnieuw opstarten verschijnt het menu. Van daaruit selecteert u “Problemen oplossen -> Geavanceerde opties -> Opdrachtprompt”. Voer in het nieuwe venster de volgende opdracht in: mountvol F: /s

Met de opdracht wordt de schijf aangekoppeld met de bootloader op stationsletter F:. Het is ook mogelijk om een ​​andere stationsletter te kiezen, zolang deze nog vrij is. Navigeer naar het gekoppelde station door F: te typen en de opdracht cd te gebruiken om naar de map efi\Microsoft\Boot te navigeren. Voer de opdracht dir *.efi uit om de efi-bestanden in deze map weer te geven. Interessant zijn deze bestanden en de bijbehorende bestandsnamen: winload.efi, bootmgfw.efi, grubx64.efi.

IDG

IDG

IDG

Als je Linux niet op je computer hebt of hebt geïnstalleerd, is het bestand grubx64.efi een sterke indicator voor een Black Lotus-infectie. De andere twee bestanden bevinden zich standaard op de Uefi-partitie. Let op de datum op deze bestanden. Als deze afwijkt van de geschiedenis van andere EFI-bestanden, is het mogelijk dat Black Lotus met deze bestanden heeft geknoeid.

Als u twee problemen in uw systeem opmerkt – grubx64.efe zonder Linux geïnstalleerd en verschillende data voor uw EFI-bestanden – moet u uw systeem nauwkeuriger controleren. Om dit te doen, volg Instructies van Microsoft. Basisinformatie over Black Lotus wordt gedetailleerd verstrekt Analyse door gespecialiseerd antivirusbedrijf Eset.

Leestip: Microsoft Word: 10 verborgen trucs en functies