Microsoft compartilha orientações para detectar ataques de UEFI bootkit BlackLotus
13 de Abril de 2023

A Microsoft compartilhou orientações para ajudar organizações a verificar se os hackers direcionaram ou comprometeram máquinas com o BlackLotus UEFI bootkit, explorando a vulnerabilidade CVE-2022-21894 .

Organizações e indivíduos também podem usar o conselho da Microsoft para se recuperar de um ataque e prevenir que os atores de ameaça que usam o BlackLotus alcancem persistência e evitem a detecção.

O BlackLotus está disponível desde o ano passado em fóruns de hackers, anunciado como um malware que evita a detecção de antivírus, resiste a tentativas de remoção e pode desativar vários recursos de segurança (por exemplo, Defender, HVCI, BitLocker).

O preço de uma licença era de US$ 5.000, com reconstruções disponíveis por US$ 200.

As capacidades do malware foram confirmadas no início de março por pesquisadores da empresa de cibersegurança ESET, que observaram que o malware funcionou exatamente como anunciado.

O malware para a Interface de Firmware Extensível Unificada (UEFI) é particularmente desafiador de detectar, pois essas ameaças são executadas antes do sistema operacional, sendo capazes de implantar payloads no início do processo de inicialização para desativar mecanismos de segurança.

Analisando dispositivos comprometidos com o BlackLotus, a equipe de Resposta a Incidentes da Microsoft identificou vários pontos no processo de instalação e execução do malware que permitem sua detecção.

Os pesquisadores observam que os defensores podem procurar os seguintes artefatos para determinar uma infecção do BlackLotus UEFI bootkit: Como o BlackLotus precisa gravar arquivos de bootloader maliciosos na partição do sistema EFI, também chamada de ESP, ele os bloqueará para evitar sua exclusão ou modificação.

Arquivos recentemente modificados e bloqueados no local do ESP, especialmente se corresponderem aos nomes de arquivo de bootloader conhecidos do BlackLotus, "devem ser considerados altamente suspeitos".

É aconselhável remover os dispositivos da rede e examiná-los em busca de evidências de atividade relacionada ao BlackLotus.

A Microsoft recomenda o uso do utilitário de linha de comando mountvol para montar a partição de inicialização e verificar a data de criação dos arquivos com tempos de criação incompatíveis.

Você pode montar a partição ESP usando o seguinte comando em um Prompt de Comando com privilégios de Administrador: Por exemplo, se a letra da unidade G: estiver livre. Se o tempo de modificação não parecer suspeito, os threat hunters podem tentar calcular o hash do arquivo de bootloader.

Em um dispositivo comprometido, a saída deve ser um erro de acesso ao arquivo porque o BlackLotus os bloqueia para evitar sua manipulação.

Outra indicação do BlackLotus é a presença do diretório "/system32/" no ESP, que é o local de armazenamento dos arquivos necessários para instalar o malware UEFI.

A Microsoft diz que a instalação bem-sucedida do BlackLotus resulta na exclusão dos arquivos dentro de "ESP:/system32/", mas o diretório permanece.

Os analistas forenses podem usar isso para procurar os arquivos removidos.

Uma das capacidades do BlackLotus é desativar a integridade de código protegido pelo hipervisor (HVCI), o que permite carregar código de kernel não assinado.

Isso é alcançado alterando para 0 (zero) o valor Enabled da chave de registro HVCI.

Um segundo recurso de segurança que o BlackLotus desativa é o Microsoft Defender Antivirus, o agente de segurança padrão no sistema operacional Windows.

Essa ação pode deixar rastros nos logs de eventos do Windows na forma de uma entrada no Log Operacional do Windows Defender da Microsoft-Windows.

Desativar o Defender também pode gerar um Evento ID 7023 no log de eventos do Sistema como resultado da parada inesperada do serviço.

Os investigadores da Microsoft aconselham os threat hunters a examinar os logs de rede para conexões de saída de winlogon.exe na porta 80, o que pode indicar que o BlackLotus está tentando se comunicar com seu servidor de comando e controle (C2).

Provas adicionais de comprometimento do BlackLotus podem estar presentes nos logs de configuração de inicialização - logs de Inicialização Medida, que fornecem detalhes sobre o processo de inicialização do Windows.

Quando o bootkit se torna ativo, dois drivers de inicialização se tornam disponíveis, especificamente grubx64.efi e winload.efi.

Comparando os logs para cada reinicialização do sistema, os analistas podem encontrar os componentes que foram adicionados ou removidos de cada inicialização da máquina.

A Microsoft adverte que acessar os arquivos de log de Inicialização Medida é possível usando uma imagem forense ou uma ferramenta de leitura NTFS bruto.

Os dados podem ser lidos após a decodificação e conversão em formato de arquivo XML ou JSON.

A Microsoft fornece um script de amostra com base no TCGLogTools de código aberto para análise e extração dos logs.

Abaixo está um exemplo dos drivers do BlackLotus que o script de amostra mostrou em uma máquina infectada: Limpar uma máquina após uma infecção do BlackLotus requer removê-la da rede e reinstalá-la com um sistema operacional e partição EFI limpos ou restaurar de um backup limpo com uma partição EFI.

Embora os artefatos pós-infecção sejam reveladores para determinar o tipo de malware usado, os defensores podem prevenir a infecção detectando uma intrusão antes que o adversário possa implantar malware UEFI.

Lançar um bootkit UEFI, no entanto, requer acesso privilegiado à máquina de destino, seja remoto ou físico, o que significa que uma ameaça de primeira etapa e um vetor de acesso inicial precedem a infecção persistente.

Para se defender de uma infecção via BlackLotus ou outro malware que explora a CVE-2022-21894 , a Microsoft recomenda que as organizações pratiquem o princípio do menor privilégio e higiene de credenciais.

Ao implementar várias camadas de controles de segurança, as chamadas estratégias de defesa em profundidade, as organizações podem reduzir o risco de um adversário obter acesso ou privilégio administrativo no ambiente.

Isso pode essencialmente interromper um ataque do BlackLotus em suas primeiras etapas antes que o ator de ameaça possa comprometer as credenciais da conta de usuário ou serviço para se mover lateralmente na rede e escalar seus privilégios.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...