Microsoft, BT ekiplerinin “görünmez” ve inatla kalıcı bir kötü amaçlı yazılım parçasını tespit etmesinin yollarını gösteriyor (yeni sekmede açılır) Redmond devi, UEFI önyükleme setine karşı savunma konusunda ayrıntılı kılavuz yayınladığı için BlackLotus olarak adlandırılır.
BlackLotus, günümüz bilgisayarlarının hemen hemen her bileşenini önyükleyen Birleşik Genişletilebilir Ürün Yazılımı Arayüzünü veya UEFI’yi hedefleyen gelişmiş bir kötü amaçlı yazılım çeşididir.
Bilgisayarın işletim sisteminden önce çalıştığı için, kötü amaçlı yazılımı buraya yerleştirmek, antivirüs korumalarını devre dışı bırakabileceği veya hatta güvenlik çözümleri çalışır durumdayken çalışır durumda kalabileceği anlamına gelir. Bu ayrıca, işletim sistemi yeniden yüklendikten sonra ve kurban sabit sürücüyü değiştirse bile kötü amaçlı yazılımın cihazda kalacağı anlamına gelir.
Kötü amaçlı yazılımı tespit etme
Tehdit aktörleri genellikle CVE-2022-21894 olarak izlenen bir güvenlik açığından yararlanarak BlackLotus’u dağıtmaya çalışır. BleepingComputer’ın bildirdiğine göre, kötü amaçlı yazılım karanlık forumlarda yaklaşık 5.000 dolara satılıyor. Yeniden yapılanmalar yaklaşık 200 $ karşılığında kullanılabilir.
Bütün bunlar tespit etmeyi ve kaldırmayı çok zorlaştırıyor. Ancak, Microsoft’un rehberliğinde biraz daha kolay olmalı. Rapora göre, bu yapıtları analiz etmek, sisteminize BlackLotus UEFI bootkit’in bulaşıp bulaşmadığını belirlemenize yardımcı olabilir:
- Yakın zamanda oluşturulan ve kilitlenen önyükleyici dosyaları
- EPS:/ dosya sisteminde BlackLotus kurulumu sırasında kullanılan bir hazırlama dizininin varlığı
- Hipervizör korumalı Kod Bütünlüğü (HVCI) için kayıt defteri anahtarı değişikliği
- Ağ günlükleri
- Önyükleme yapılandırma günlükleri
- Önyükleme bölümü yapıları
Araştırmacılar, bir cihazı BlackLotus gizliliğinden temizlemek için, kişinin onu ağdan kaldırması ve temiz bir işletim sistemi ve EFI bölümü ile yeniden kurması gerektiğini söylüyor. Alternatif olarak, bir EFI bölümüyle temiz bir yedekten geri yükleyebilirler.
Ayrıca, tehdit aktörlerinin BlackLotus’u dağıtmak için belirli bir güvenlik açığından – CVE-2022-21894 – yararlanmaları gerektiğini belirtmekte fayda var. Bu güvenlik açığını gideren bir yamanın kurulu olması, cihazın gelecekteki enfeksiyonlara karşı korunmasına da yardımcı olabilir.
Son olarak, şirketin dediği gibi: “Alan çapında, yönetici düzeyinde hizmet hesapları kullanmaktan kaçının. Yerel yönetici ayrıcalıklarının kısıtlanması, uzaktan erişim truva atlarının (RAT) ve diğer istenmeyen uygulamaların yüklenmesini sınırlamaya yardımcı olabilir”.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)
