Araştırmacıların BlackLotus'un oluşturduğu tehlikeli, "görünmez" tehdidi keşfetmesinden aylar sonra, Microsoft şimdi araştırmacılara ve sistem yöneticilerine devam eden bir enfeksiyonun belirtileri hakkında ayrıntılı bir rehberlik sunuyor.
BlackLotus, çok gelişmiş yeteneklerle donatılmış ve tamamen güncellenmiş bir Windows makinesinde kendisini görünmez bir hayalete dönüştürmek için tasarlanmış bir güvenlik tehdidi olan , yakın zamanda keşfedilen , çok güçlü bir UEFI önyükleme takımıdır . Bulaşma normal kullanım için etkili bir şekilde şeffaf olsa da, araştırmacılar ve analistler artık kötü amaçlı yazılımın getirdiği sistem değişiklikleri hakkında yeterli bilgiye sahip.
Microsoft, ilk olarak Ocak 2022'de Redmond tarafından düzeltilen CVE-2022-21894 güvenlik açığından ("Güvenli Önyükleme Güvenlik Özelliğini Atlama Güvenlik Açığı") yararlanmak için tasarlanan BlackLotus kampanyasını araştırmak (ve tabii ki tespit etmek) için bir kılavuz hazırladı. Microsoft, işletim sistemi yüklenmeden önce bilgisayar başlatılırken çalıştıkları için UEFI önyükleme takımlarının özellikle tehlikeli olduğunu, bu nedenle çeşitli işletim sistemi güvenlik mekanizmalarını engelleyebileceğini veya devre dışı bırakabileceğini açıklıyor .
Microsoft'un kılavuzuna göre, araştırmacılar ve yöneticiler, bir BlackLotus enfeksiyonunun ipuçlarını belirlemek için bir Windows kurulumunun belirli (gizli) kısımlarını araştırmalıdır. Önyükleme takımının varlığını gösteren işaretler arasında yakın zamanda oluşturulmuş ve kilitli önyükleme dosyaları, BlackLotus yüklemesi sırasında kullanılan bir hazırlama dizini, Hipervizör korumalı Kod Bütünlüğü (HVCI) özelliğini devre dışı bırakmak için Kayıt defteri anahtarı değişiklikleri ve ağ ve önyükleme günlükleri yer alır.
Microsoft, önyükleme işlemindeki olası değişiklikleri araştırmak için "tehdit avcılarının" önce genellikle günlük Windows kullanımından gizlenen EFI sistem bölümünü bağlaması gerektiğini söylüyor. Daha sonra, BlackLotus çekirdek sürücüsü tarafından korunan EFI dosyalarının değişiklik tarihini kontrol etmeleri ve önceki ve en yeni dosyalar arasındaki uyumsuzlukları aramaları gerekir. Son olanlar muhtemelen bootkit enfeksiyonu ile ilişkilendirilecektir.
BlackLotus bulaşması, kötü amaçlı yazılımın kurulumunun başladığı konum olan EFI bölümü içinde bir "system32" klasörü aranarak da algılanabilir. BlackLotus ayrıca, Windows Kayıt Defterini HVCI'yi devre dışı bırakacak şekilde değiştirirken, Defender antivirüs artık başlamaz. Müfettişler, Windows Olay Günlüklerinde, Defender gerçek zamanlı koruma hizmeti "bilinmeyen bir nedenle" durdurulduğunda oluşturulan "ID 7023" olayı dahil olmak üzere izleri arayabilirler.
Bootkit'in enjekte edilen HTTP yükleyicisi komut&kontrol sunucusuna ulaşmaya veya "ağ yapılandırma keşfi" gerçekleştirmeye çalıştığından, 80 numaralı bağlantı noktasındaki winlogon.exe'den giden bağlantıların günlükleri de makinede BlackLotus varlığını ortaya çıkarabilir. Microsoft, önyükleme seti etkin hale geldiğinde, günlükler karşılaştırılarak iki yeni önyükleme sürücüsünün ("grubx64.efi", "winload.efi") görülebileceğini açıklıyor.
Microsoft ayrıca bir BlackLotus bulaşmasının nasıl önleneceğine ve kaldırılacağına ilişkin yönergeler sağlar. Microsoft, önlemenin geleneksel ve görünmez tehditlere karşı en iyi çözüm olduğunu ve sistem yöneticilerinin öncelikle yerel yönetici ayrıcalıklarını kısıtlayarak etki alanı çapında, yönetici düzeyinde hizmet hesaplarını kullanmaktan kaçınmaları gerektiğini öne sürüyor. Birden fazla güvenlik denetimi katmanı uygulamak, riskleri azaltabilecek tek stratejidir; temizleme yapılabilir, ancak temiz bir işletim sisteminin, EFI bölümünün ve UEFI üretici yazılımının dikkatli bir şekilde yeniden yüklenmesini gerektirir.
Kaynak:
https://www.techspot.com/news/98300-mic ... ction.html
