Microsoft telah membagikan panduan untuk membantu organisasi memeriksa apakah peretas menargetkan atau menyusupi mesin dengan bootkit BlackLotus UEFI dengan mengeksploitasi kerentanan CVE-2022-21894.
Organisasi dan individu juga dapat menggunakan saran Microsoft untuk pulih dari serangan dan untuk mencegah pelaku ancaman yang menggunakan BlackLotus mencapai persistensi dan menghindari deteksi.
BlackLotus telah tersedia sejak saat itu tahun lalu di forum peretasan, diiklankan sebagai malware yang menghindari deteksi antivirus, menolak upaya penghapusan, dan dapat menonaktifkan berbagai fitur keamanan (mis. Pembela, HVCI, BitLocker). Harga untuk lisensi adalah $5.000, dengan rekondisi tersedia seharga $200.
Kemampuan malware itu dikonfirmasi pada awal Maret oleh para peneliti di perusahaan cybersecurity ESET, yang mencatat bahwa malware berfungsi persis seperti yang diiklankan.
Menemukan petunjuk infeksi BlackLotus
Malware untuk Unified Extensible Firmware Interface (UEFI) sangat menantang untuk dideteksi karena ancaman ini berjalan sebelum sistem operasi, karena mampu menyebarkan muatan sejak awal proses boot untuk menonaktifkan mekanisme keamanan.
Malware untuk Unified Extensible Firmware Interface (UEFI) sangat menantang untuk dideteksi karena jenis ancaman ini berjalan sebelum sistem operasi dimulai, memungkinkannya menyebarkan muatan di awal proses boot untuk menonaktifkan mekanisme keamanan.
Menganalisis perangkat yang dikompromikan dengan BlackLotus, tim Respons Insiden Microsoft mengidentifikasi beberapa poin dalam proses penginstalan dan eksekusi malware yang memungkinkan pendeteksiannya.
Para peneliti mencatat bahwa pembela HAM dapat mencari artefak berikut untuk menentukan infeksi bootkit BlackLotus UEFI:
- File bootloader yang baru dibuat dan dikunci
- Kehadiran direktori pementasan yang digunakan selama instalasi BlackLotus di sistem file EPS:/
- Modifikasi kunci registri untuk Integritas Kode yang dilindungi Hypervisor (HVCI)
- Log jaringan
- Log konfigurasi boot
Artefak partisi boot
Karena BlackLotus perlu menulis file bootloader berbahaya ke partisi sistem EFI, juga disebut sebagai ESP, itu akan menguncinya untuk mencegah penghapusan atau modifikasinya.
File yang baru saja dimodifikasi dan dikunci di lokasi ESP, terutama jika cocok nama file bootloader BlackLotus yang dikenal “harus dianggap sangat mencurigakan.” Disarankan untuk menghapus perangkat dari jaringan dan memeriksanya untuk bukti aktivitas yang terkait dengan BlackLotus.
Microsoft merekomendasikan menggunakan mountvol utilitas baris perintah untuk memasang partisi boot dan memeriksa tanggal pembuatan file dengan waktu pembuatan yang tidak sesuai.
sumber: Microsoft
Anda dapat memasang partisi ESP menggunakan perintah berikut di a Prompt Perintah dengan hak istimewa Administrator:
mountvol[available drive letter] /sMisalnya, jika huruf drive G: kosong, Anda dapat menjalankan perintah ini:
mountvol g: /sJika waktu modifikasi tidak terlihat mencurigakan, pemburu ancaman dapat mencoba menghitung hash file bootloader. Pada perangkat yang disusupi, keluarannya harus berupa kesalahan akses file karena BlackLotus menguncinya untuk mencegah gangguan.
Cerita lain tentang BlackLotus adalah adanya direktori “/ system32 /” di ESP, yang merupakan lokasi penyimpanan file yang diperlukan untuk menginstal malware UEFI.
Microsoft mengatakan bahwa penginstalan BlackLotus yang berhasil mengakibatkan penghapusan file di dalam “ESP:/sistem32/” tetapi direktori tetap ada. Analis forensik dapat menggunakan ini untuk mencari file yang dihapus.
sumber: Microsoft
Registri, log, dan petunjuk jaringan
Salah satu kemampuan BlackLotus adalah menonaktifkan integritas kode yang dilindungi hypervisor (HVCI), yang memungkinkannya memuat kode kernel yang tidak ditandatangani.
Ini dicapai dengan mengubah ke 0 (nol) nilai Enabled dari kunci registri HVCIseperti pada gambar di bawah ini.
sumber: Microsoft
Fitur keamanan kedua yang dinonaktifkan BlackLotus adalah Microsoft Defender Antivirus, agen keamanan default di sistem operasi Windows.
Tindakan ini dapat meninggalkan jejak di Windows Event Logs dalam bentuk entri di bawah Microsoft-Windows-Windows Defender/Operasional Catatan.
sumber: Microsoft
Mematikan Pembela juga dapat menghasilkan ID Peristiwa 7023 di log peristiwa Sistem sebagai akibat dari layanan berhenti tiba-tiba.
Penyelidik Microsoft menyarankan pemburu ancaman untuk memeriksa log jaringan untuk koneksi keluar winlogon.exe pada porta 80, yang mungkin mengindikasikan BlackLotus mencoba berkomunikasi dengan server command and control (C2) miliknya.
“Ini adalah hasil dari fungsi pengunduh HTTP yang disuntikkan dari BlackLotus yang terhubung ke server C2 atau melakukan penemuan konfigurasi jaringan” – Microsoft
Bukti tambahan kompromi BlackLotus dapat hadir di log konfigurasi boot – Boot Terukur log, yang memberikan detail tentang proses boot Windows.
Saat bootkit menjadi aktif, dua driver boot tersedia, khususnya grubx64.efi Dan winload.efi. Dengan membandingkan log untuk setiap reboot sistem, analis dapat menemukan komponen yang telah ditambahkan atau dihapus dari setiap boot mesin.
sumber: Microsoft
Microsoft memperingatkan bahwa mengakses file log MeasuredBoot dimungkinkan menggunakan gambar forensik atau alat baca NTFS mentah.
Data dapat dibaca setelah decoding dan mengubahnya menjadi format file XML atau JSON. Microsoft menyediakan contoh naskah berbasis open-source TCGLogTools untuk mem-parsing dan mengekstrak log
Di bawah ini adalah contoh driver BlackLotus yang ditunjukkan skrip sampel pada mesin yang terinfeksi:
sumber: Microsoft
Mencegah kompromi BlackLotus
Membersihkan mesin setelah infeksi BlackLotus memerlukan penghapusan dari jaringan dan menginstal ulang dengan sistem operasi yang bersih dan partisi EFI, atau memulihkan dari cadangan bersih dengan partisi EFI.
Sementara artefak pasca-infeksi terungkap dalam menentukan jenis malware yang digunakan, para pembela HAM dapat mencegah penyusupan dengan mendeteksi intrusi sebelum musuh menyebarkan malware UEFI.
Meluncurkan bootkit UEFI, bagaimanapun, memerlukan akses istimewa ke mesin target, baik jarak jauh atau fisik, yang berarti bahwa ancaman tahap pertama dan vektor akses awal mendahului infeksi yang terus-menerus.
Untuk menangkis infeksi melalui BlackLotus atau malware lain yang mengeksploitasi CVE-2022-21894, Microsoft merekomendasikan organisasi untuk mempraktikkan prinsip hak istimewa dan kebersihan kredensial.
“Hindari penggunaan akun layanan tingkat admin di seluruh domain. Membatasi hak administratif lokal dapat membantu membatasi penginstalan trojan akses jarak jauh (RAT) dan aplikasi lain yang tidak diinginkan” – Microsoft
Dengan menerapkan kontrol keamanan berlapis, yang disebut strategi pertahanan mendalam, organisasi dapat mengurangi risiko musuh mendapatkan akses atau hak istimewa administratif di lingkungan.
Ini pada dasarnya dapat menghentikan serangan BlackLotus pada tahap awal sebelum pelaku ancaman dapat membahayakan kredensial pengguna atau akun layanan untuk bergerak secara lateral di jaringan dan meningkatkan hak istimewa mereka.
