Microsoft 分享BlackLotus UEFI bootkit 攻击检测指南，以帮助组织检查黑客是否通过利用 CVE-2022-21894 漏洞以 BlackLotus UEFI bootkit 为目标攻击系统。

组织和个人可以使用 Microsoft 的建议从攻击中恢复，并防止使用 BlackLotus 的黑客组织实现持久性和逃避检测。

BlackLotus 从去年开始就出现在黑客论坛上，被宣传为一种可以逃避防病毒检测、抵制删除尝试并可以禁用各种安全功能（例如 Defender、HVCI、BitLocker）的恶意软件。该恶意软件许可证的价格为 5,000 美元，重建费用为 200 美元。

ESET 安全研究人员在 3 月初确认了该恶意软件的功能 ，他们指出该恶意软件的功能与宣传的完全一样。

定位BlackLotus感染线索

统一可扩展固件接口 (UEFI) 的恶意软件特别难以检测，因为这些威胁在操作系统启动之前运行，能够在启动过程的早期部署恶意负载以禁用系统安全机制。

通过分析受 BlackLotus 攻击的设备，Microsoft 事件响应团队在恶意软件安装和执行过程中发现了几个可以检测到的点。

研究人员指出，防御者可以通过以下检查点来确认BlackLotus UEFI bootkit感染：

• 最近创建和锁定的引导加载程序文件
• 在 EPS:/ 文件系统中安装 BlackLotus 期间使用的临时目录的存在
• Hypervisor 保护的代码完整性 (HVCI) 的注册表项修改
• 网络日志
• 引导配置日志

引导分区工件

由于 BlackLotus 需要将恶意引导加载程序文件写入 EFI 系统分区，也称为 ESP，它会锁定它们以防止它们被删除或修改。

最近在 ESP 位置修改和锁定的文件，特别是如果它们与已知的 BlackLotus 引导加载程序文件名相匹配 ，“应该被认为是高度可疑的”。建议从网络中移除设备并检查它们是否存在与 BlackLotus 相关的活动证据。

Microsoft 建议使用 mountvol 命令行实用程序挂载引导分区并检查创建时间不匹配的文件的创建日期。

可以在具有管理员权限的命令提示符中使用以下命令挂载 ESP 分区 ：

mountvol[availabledrive letter] /s

例如，如果 G: 盘符是空闲的，则可以执行以下命令：

mountvol g: /s

如果修改时间看起来不可疑，威胁猎手可以尝试计算引导加载程序文件的哈希值。在受感染的设备上，输出应该是文件访问错误，因为 BlackLotus 会锁定它们以防止它们被篡改。

BlackLotus 的另一个迹象是 ESP 上存在“/system32/”目录，这是安装 UEFI 恶意软件所需文件的存储位置。

微软表示，成功安装 BlackLotus 会导致删除“ ESP:/system32/ ”内的文件，但该目录仍然存在。取证分析师可以使用它来搜索已删除的文件。

注册表、日志和网络线索

BlackLotus 的一项功能是禁用管理程序保护的代码完整性 (HVCI)，这允许它加载未签名的内核代码。

这是通过将HVCI 注册表项的启用值更改为 0（零）来实现的 ，如下图所示。

BlackLotus 禁用的第二个安全功能是 Microsoft Defender Antivirus，它是 Windows 操作系统默认启用的安全软件。

此操作可能会以 Microsoft-Windows-Windows Defender/操作日志下条目的形式在 Windows 事件日志中留下痕迹。

由于服务意外停止，关闭 Defender 还可能会在系统事件日志中生成事件 ID 7023。

微软调查人员建议威胁猎手检查网络日志以查找来自端口 80 上的winlogon.exe 的出站连接， 这可能表明 BlackLotus 试图与其命令和控制 (C2) 服务器通信。

“这是 BlackLotus 连接到 C2 服务器或执行网络配置发现的注入 HTTP 下载器功能的结果” - 微软

BlackLotus 危害的其他证据可以存在于启动配置日志中 - MeasuredBoot 日志，它提供有关 Windows 启动过程的详细信息。

当 bootkit 激活时，两个引导驱动程序可用，特别是 grubx64.efi 和 winload.efi。通过比较每次系统重启的日志，分析人员可以找到每次机器启动时添加或删除的组件。

Microsoft 警告说，可以使用取证映像或原始 NTFS 读取工具访问 MeasuredBoot 日志文件。

将数据解码并转换为 XML 或 JSON 文件格式后即可读取数据。微软提供了一个基于开源 TCGLogTools的示例脚本来解析和提取日志。

下面是示例脚本在受感染机器上显示的 BlackLotus 驱动程序示例：

阻止BlackLotus入侵

在 BlackLotus 感染后清理机器需要将其从网络中删除并使用干净的操作系统和 EFI 分区重新安装，或者从带有 EFI 分区的干净备份中恢复。

防御者可以通过在对手部署 UEFI 恶意软件之前检测到入侵来防止危害。

启动 UEFI bootkit 需要对远程或物理目标机器进行特权访问，这意味着第一阶段威胁和初始访问向量先于持续感染。

为了抵御通过 BlackLotus 或其他利用 CVE-2022-21894 的恶意软件感染，Microsoft 建议组织实践最小权限和凭据使用原则。

“避免使用域范围内的管理员级服务帐户。限制本地管理权限有助于限制远程访问木马 (RAT) 和其他不需要的应用程序安装”——微软

通过实施多层安全控制，即所谓的纵深防御策略，组织可以降低对手在环境中获得访问权限或管理权限的风险。

以上方法可以使入侵者在网络横向移动并提升特权之前，在早期阶段阻止 BlackLotus 攻击。

参考链接：
https://www.bleepingcomputer.com/news/security/microsoft-shares-guidance-to-detect-blacklotus-uefi-bootkit-attacks/