Microsoft 發布 Windows 安全啟動、Defender、VBS、BitLocker 繞過 BlackLotus 的指南

上個月，ESET 反惡意軟件解決方案的安全研究部門 WeLiveSecurity 發布了關於BlackLotus 安全漏洞的報告。

如果您不知道，BlackLotus 是一個 UEFI bootkit，這個惡意軟件特別危險的原因是它能夠繞過安全啟動系統，即使在更新的 Windows 11 系統上也是如此。除此之外，BlackLotus 還對註冊表進行了修改，以禁用 Hypervisor-protected Code Integrity (HVCI)，這是一種基於虛擬化的安全 (VBS) 功能；以及 BitLocker 加密。它還通過操縱早期啟動反惡意軟件 (ELAM) 驅動程序和 Windows Defender 文件系統篩選器驅動程序來禁用 Windows Defender。最終目的是部署一個 HTTP 下載器來傳送惡意負載。

儘管名為“Baton Drop”(CVE-2022-21894) 的安全漏洞已在一年前修復，但由於已簽名的二進製文件尚未添加到 UEFI 吊銷列表中，該漏洞仍在被利用。在最近發布的一份指南中，微軟總結了 BlackLotus 在成功感染後所做的惡意活動：

該惡意軟件使用 CVE-2022-21894（也稱為 Baton Drop）繞過 Windows 安全啟動，隨後將惡意文件部署到由 UEFI 固件啟動的 EFI 系統分區 (ESP)。這允許 bootkit 能夠：

1. 通過註冊威脅參與者的機器所有者密鑰 (MOK) 來實現持久性
2. 關閉 HVCI 以允許部署惡意內核驅動程序
3. 利用內核驅動程序部署用於命令和控制的用戶模式 HTTP 下載器 (C2)
4. 關閉 Bitlocker 以避免 Windows 上的篡改保護策略
5. 關閉 Microsoft Defender 防病毒軟件以避免進一步檢測

在其指南中，這家科技巨頭詳細介紹了確定組織中的設備是否被感染的技術，以及恢復和預防策略。你可以在微軟官方網站上閱讀。