Microsoft đã chia sẻ hướng dẫn để giúp các tổ chức kiểm tra xem liệu tin tặc có nhắm mục tiêu hoặc xâm phạm máy bằng bộ khởi động BlackLotus UEFI hay không bằng cách khai thác lỗ hổng CVE-2022-21894.
Các tổ chức và cá nhân cũng có thể sử dụng lời khuyên của Microsoft để phục hồi sau một cuộc tấn công và ngăn chặn các tác nhân đe dọa sử dụng BlackLotus đạt được sự bền bỉ và tránh bị phát hiện.
BlackLotus đã có từ năm ngoái trên các diễn đàn hack, được quảng cáo là một phần mềm độc hại tránh được sự phát hiện của phần mềm chống vi-rút, chống lại các nỗ lực loại bỏ và có thể vô hiệu hóa các tính năng bảo mật khác nhau (ví dụ: Defender, HVCI, BitLocker). Giá cho một giấy phép là 5.000 đô la, với các bản dựng lại có sẵn với giá 200 đô la.
Các khả năng của phần mềm độc hại đã được xác nhận vào đầu tháng 3 bởi các nhà nghiên cứu tại công ty an ninh mạng ESET, họ lưu ý rằng phần mềm độc hại hoạt động chính xác như quảng cáo.
Phần mềm độc hại cho Giao diện phần sụn mở rộng hợp nhất (UEFI) đặc biệt khó phát hiện vì những mối đe dọa này chạy trước hệ điều hành, có khả năng triển khai tải trọng sớm trong quá trình khởi động để vô hiệu hóa cơ chế bảo mật.
Phần mềm độc hại dành cho Giao diện phần sụn mở rộng hợp nhất (UEFI) đặc biệt khó phát hiện vì loại mối đe dọa này chạy trước khi hệ điều hành khởi động, cho phép nó triển khai các tải trọng sớm trong quá trình khởi động để vô hiệu hóa các cơ chế bảo mật.
Phân tích các thiết bị bị xâm phạm với BlackLotus, nhóm Ứng phó Sự cố của Microsoft đã xác định được một số điểm trong quá trình thực thi và cài đặt phần mềm độc hại cho phép phát hiện phần mềm độc hại.
Các nhà nghiên cứu lưu ý rằng những người bảo vệ có thể tìm kiếm các hiện vật sau để xác định việc lây nhiễm bộ khởi động BlackLotus UEFI:
Vì BlackLotus cần ghi các tệp bộ tải khởi động độc hại vào phân vùng hệ thống EFI, còn được gọi là ESP, nên nó sẽ khóa chúng để ngăn việc xóa hoặc sửa đổi chúng.
Các tệp bị khóa và sửa đổi gần đây trong vị trí ESP, đặc biệt nếu chúng khớp với các tên tệp bộ tải khởi động BlackLotus đã biết “nên được coi là rất đáng ngờ”. Bạn nên xóa các thiết bị khỏi mạng và kiểm tra chúng để tìm bằng chứng về hoạt động liên quan đến BlackLotus.
Microsoft khuyên bạn nên sử dụng tiện ích dòng lệnh mountvol để gắn phân vùng khởi động và kiểm tra ngày tạo của các tệp có thời gian tạo không khớp.
Dấu thời gian cho các tệp khởi động được thêm bởi nguồn phần mềm độc hại BlackLotus UEFI
Ngăn chặn sự thỏa hiệp của BlackLotus
Làm sạch máy sau khi bị lây nhiễm BlackLotus yêu cầu xóa máy khỏi mạng và cài đặt lại với hệ điều hành sạch và phân vùng EFI hoặc khôi phục từ bản sao lưu sạch với phân vùng EFI.
Mặc dù các thành phần tạo tác sau khi lây nhiễm tiết lộ trong việc xác định loại phần mềm độc hại được sử dụng, nhưng những người bảo vệ có thể ngăn chặn sự xâm nhập bằng cách phát hiện sự xâm nhập trước khi kẻ thù có thể triển khai phần mềm độc hại UEFI.
Tuy nhiên, việc khởi chạy bộ công cụ khởi động UEFI yêu cầu quyền truy cập đặc quyền vào máy đích, từ xa hoặc vật lý, nghĩa là mối đe dọa ở giai đoạn đầu và véc tơ truy cập ban đầu có trước sự lây nhiễm dai dẳng.
Để chống lại sự lây nhiễm qua BlackLotus hoặc phần mềm độc hại khác khai thác CVE-2022-21894, Microsoft khuyến nghị các tổ chức thực hành nguyên tắc đặc quyền tối thiểu và vệ sinh thông tin xác thực.
Bằng cách triển khai nhiều lớp kiểm soát bảo mật, cái gọi là chiến lược phòng thủ chuyên sâu, các tổ chức có thể giảm nguy cơ kẻ thù giành được quyền truy cập hoặc đặc quyền quản trị trong môi trường.
Điều này về cơ bản có thể ngăn chặn một cuộc tấn công BlackLotus trong các giai đoạn trước đó trước khi tác nhân đe dọa có thể xâm phạm thông tin đăng nhập tài khoản người dùng hoặc dịch vụ để di chuyển ngang trên mạng và leo thang các đặc quyền của chúng.
Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.