Microsoft дает советы по обнаружению этого необнаруживаемого вредоносного ПО
вычисления techradar.com Новости

Microsoft дает советы по обнаружению этого необнаруживаемого вредоносного ПО

13 апреля 2023 г.

Microsoft показывает, как ИТ-специалисты могут обнаружить «невидимую» и постоянно сохраняющуюся часть вредоносное ПО под названием BlackLotus, так как редмондский гигант публикует подробное руководство по защите от буткита UEFI.

BlackLotus — это сложный вариант вредоносного ПО, нацеленный на Unified Extensible Firmware Interface или UEFI, который довольно быстро загружается почти каждый компонент современных компьютеров.

Поскольку вредоносная программа запускается перед операционной системой компьютера, размещение вредоносной программы здесь означает, что она может отключить антивирус защиты или даже оставаться в рабочем состоянии, пока работают решения безопасности. Это также означает, что вредоносное ПО останется на устройстве даже после переустановки операционной системы — и даже если жертва заменит жесткий диск.

Обнаружение вредоносных программ

Субъекты угроз обычно пытаются развернуть BlackLotus, используя уязвимость, отслеживаемую как CVE-2022-21894. Как сообщает BleepingComputer, вредоносное ПО продается на темных форумах по цене около 5000 долларов. Ребилды доступны примерно за 200 долларов.

Все это очень затрудняет обнаружение и удаление. Однако с руководством Microsoft это должно быть несколько проще. Согласно отчету, анализ этих артефактов может помочь определить, заражена ли ваша система буткитом BlackLotus UEFI:

Подробнее

> 'Near-undetectable' инструмент для взлома выставлен на продажу на форуме вредоносных программ

> Новое опасное вредоносное ПО превращает устройства Windows и Linux в инструменты DDoS

> Вот наши список лучших инструментов защиты конечных точек

  • Недавно созданные и заблокированные файлы загрузчика
  • Наличие промежуточного каталога, используемого во время установки BlackLotus, в файловой системе EPS:/
  • Изменение ключа реестра для защищенного гипервизором Проверка целостности кода (HVCI)
  • Сетевые журналы
  • Журналы конфигурации загрузки
  • Артефакты загрузочного раздела

Чтобы очистить устройство от компрометации BlackLotus, необходимо удалить его из сети и переустановить с чистой операционной системой и разделом EFI, указывают исследователи. Кроме того, они могут восстановить его из чистой резервной копии с разделом EFI.

Стоит также упомянуть, что злоумышленникам необходимо использовать определенную уязвимость — CVE-2022-21894 — для развертывания BlackLotus. Установка исправления, устраняющего эту уязвимость, также может помочь защитить устройство от заражения в будущем.

И наконец, как заявляет компания: «Избегайте использования сервисных аккаунтов на уровне домена и администратора. Ограничение прав локального администратора может помочь ограничить установку троянов удаленного доступа (RAT) и других нежелательных приложений».

Через: BleepingComputer

Оригинал

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE