投稿
  1. 小新网首页
  2. 生活常识

在线木马检测(攻击bios的病毒)

科技无忧 生活常识

Microsoft 分享BlackLotus UEFI bootkit 攻击检测指南,以帮助组织检查黑客是否通过利用 CVE-2022-21894 漏洞以 BlackLotus UEFI bootkit 为目标攻击系统。

组织和个人可以使用 Microsoft 的建议从攻击中恢复,并防止使用 BlackLotus 的黑客组织实现持久性和逃避检测。

BlackLotus 从去年开始就出现在黑客论坛上,被宣传为一种可以逃避防病毒检测、抵制删除尝试并可以禁用各种安全功能(例如 Defender、HVCI、BitLocker)的恶意软件。该恶意软件许可证的价格为 5,000 美元,重建费用为 200 美元。

ESET 安全研究人员在 3 月初确认了该恶意软件的功能 ,他们指出该恶意软件的功能与宣传的完全一样。

定位BlackLotus感染线索

统一可扩展固件接口 (UEFI) 的恶意软件特别难以检测,因为这些威胁在操作系统启动之前运行,能够在启动过程的早期部署恶意负载以禁用系统安全机制。

通过分析受 BlackLotus 攻击的设备,Microsoft 事件响应团队在恶意软件安装和执行过程中发现了几个可以检测到的点。

研究人员指出,防御者可以通过以下检查点来确认BlackLotus UEFI bootkit感染:

最近创建和锁定的引导加载程序文件在 EPS:/ 文件系统中安装 BlackLotus 期间使用的临时目录的存在Hypervisor 保护的代码完整性 (HVCI) 的注册表项修改网络日志引导配置日志

引导分区工件

由于 BlackLotus 需要将恶意引导加载程序文件写入 EFI 系统分区,也称为 ESP,它会锁定它们以防止它们被删除或修改。

最近在 ESP 位置修改和锁定的文件,特别是如果它们与已知的 BlackLotus 引导加载程序文件名相匹配 ,“应该被认为是高度可疑的”。建议从网络中移除设备并检查它们是否存在与 BlackLotus 相关的活动证据。

Microsoft 建议使用 mountvol 命令行实用程序挂载引导分区并检查创建时间不匹配的文件的创建日期。

在线木马检测(攻击bios的病毒)

BlackLotus UEFI bootkit 禁用 HVCI 安全特性

BlackLotus 禁用的第二个安全功能是 Microsoft Defender Antivirus,它是 Windows 操作系统默认启用的安全软件。

此操作可能会以 Microsoft-Windows-Windows Defender/操作日志下条目的形式在 Windows 事件日志中留下痕迹。

在线木马检测(攻击bios的病毒)

MeasuredBoot 日志中的 BlackLotus UEFI bootkit 组件

Microsoft 警告说,可以使用取证映像或原始 NTFS 读取工具访问 MeasuredBoot 日志文件。

将数据解码并转换为 XML 或 JSON 文件格式后即可读取数据。微软提供了一个基于开源 TCGLogTools的示例脚本来解析和提取日志。

下面是示例脚本在受感染机器上显示的 BlackLotus 驱动程序示例:

在线木马检测(攻击bios的病毒)

脚本显示感染 BlackLotus 的机器上的启动组件

阻止BlackLotus入侵

在 BlackLotus 感染后清理机器需要将其从网络中删除并使用干净的操作系统和 EFI 分区重新安装,或者从带有 EFI 分区的干净备份中恢复。

防御者可以通过在对手部署 UEFI 恶意软件之前检测到入侵来防止危害。

启动 UEFI bootkit 需要对远程或物理目标机器进行特权访问,这意味着第一阶段威胁和初始访问向量先于持续感染。

为了抵御通过 BlackLotus 或其他利用 CVE-2022-21894 的恶意软件感染,Microsoft 建议组织实践最小权限和凭据使用原则。

“避免使用域范围内的管理员级服务帐户。限制本地管理权限有助于限制远程访问木马 (RAT) 和其他不需要的应用程序安装”——微软

通过实施多层安全控制,即所谓的纵深防御策略,组织可以降低对手在环境中获得访问权限或管理权限的风险。

本文来自作者:科技无忧,不代表小新网立场!

转载请注明:https://www.xiaoxinys.cn/597212.html

(0)
科技无忧科技无忧注册用户
0
上一篇 2023-05-15 19:18:00
下一篇 2023-05-15 19:21:00

相关推荐

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。