Gli esperti di ESET avevano descritto il funzionamento di BlackLotus, un pericoloso bootkit che aggira le protezioni di Windows, sfruttando la vulnerabilità CVE-2022-21894 del Secure Boot. Microsoft ha pubblicato un articolo per spiegare come può essere rilevato il malware e quali sono le misure da adottare.
BlackLotus: consigli di Microsoft
BlackLotus viene eseguito all’avvio del computer, prima del caricamento del sistema operativo. Può disattivare vari meccanismi di sicurezza, tra cui BitLocker, Hypervisor-protected Code Integrity (HVCI) e Microsoft Defender Antivirus. Il bootkit viene utilizzato per ottenere la persistenza, quindi i cybercriminali devono prima accedere al dispositivo con un altro malware.
La persistenza viene ottenuta copiando una Machine Owner Key e i file infetti nella EFI System Partition (ESP). Successivamente viene disattivata la protezione HVCI e installato un driver del kernel che consente di scaricare un downloader HTTP usato per il controllo remoto. Infine vengono disattivati BitLocker e Defender Antivirus.
Per rilevare la presenza di BlackLotus è possibile verificare la data dei file nella partizione di boot, usando il comando mountvol. Quasi sicuramente i file .efi modificati hanno la stessa data. Il bootkit crea inoltre una directory sotto ESP:/system32/. Se esiste, allora il computer è stato infettato.
La presenza di BlackLotus viene confermata anche dalla modifica della chiave di registro relativa alla protezione HVCI e dai log che indicano la disattivazione di Defender Antivirus. L’analisi dell’otuput di netstat consente inoltre di individuare le connessioni in uscita effettuate dal downloader HTTP tramite il processo winlogon.exe.
Se il dispositivo è stato infettato, l’unica soluzione per eliminare il bootkit è la formattazione totale o il ripristino da un backup pulito.
Ti potrebbe interessare
13 apr 2023