Microsoft veröffentlicht Anleitung zur Erkennung von UEFI-Bootkit-Hack
Im Januar hatte Microsoft Informationen zu einer Sicherheitslücke veröffentlicht, die als Secure-Boot-Bypass (CVE-2022-21894) bekannt wurde. Es folgte die Behebung der Schwachstelle zum Januar Patch-Day.
Anfang März wurde dann bekannt, dass eine bisher unbekannte Gruppe eine Malware mit dem Namen BlackLotus entwickelt hat, die als erstes UEFI-Bootkit das Secure Boot-Feature von Windows überwinden kann. Nun macht Microsoft noch einmal darauf aufmerksam, wie wichtig es ist, das Update von Januar zu installieren und stellt einen Leitfaden zur Hand, um Infektionen mit der BlackLotus-Malware zu entdecken. Das gestaltet sich gar nicht so einfach.
Bei der Analyse von Geräten, die mit BlackLotus infiziert sind, hat das Microsoft Incident Response Team mehrere Punkte im Installations- und Ausführungsprozess der Malware identifiziert, die eine Erkennung ermöglichen.
Da BlackLotus bösartige Bootloader-Dateien in die EFI-Systempartition, auch ESP genannt, schreiben muss, werden diese Dateien gesperrt, um ihr Löschen oder ihre Änderung zu verhindern. Kürzlich geänderte und gesperrte Dateien im ESP-Speicherort, insbesondere wenn sie mit bekannten BlackLotus-Bootloader-Dateinamen übereinstimmen, "sollten als höchst verdächtig betrachtet werden", so Microsoft.
Microsoft empfiehlt die Verwendung des Befehlszeilen-Dienstprogramms mountvol, um die Boot-Partition zu mounten und das Erstellungsdatum der Dateien mit nicht übereinstimmenden Erstellungszeiten zu überprüfen. Ein weiteres Erkennungsmerkmal von BlackLotus ist das Vorhandensein des Verzeichnisses "/system32/" auf dem ESP, in dem die für die Installation der UEFI-Malware erforderlichen Dateien gespeichert sind. Laut Microsoft werden bei einer erfolgreichen Installation von BlackLotus die Dateien im Verzeichnis "ESP:/system32/" gelöscht, das Verzeichnis bleibt jedoch bestehen.
Auch das Deaktivieren von Antivirenprogrammen gibt einen Hinweis auf Hacker.
Siehe auch:
Anfang März wurde dann bekannt, dass eine bisher unbekannte Gruppe eine Malware mit dem Namen BlackLotus entwickelt hat, die als erstes UEFI-Bootkit das Secure Boot-Feature von Windows überwinden kann. Nun macht Microsoft noch einmal darauf aufmerksam, wie wichtig es ist, das Update von Januar zu installieren und stellt einen Leitfaden zur Hand, um Infektionen mit der BlackLotus-Malware zu entdecken. Das gestaltet sich gar nicht so einfach.
Antivirenprogramme werden ausgeschaltet
Falls das UEFI-Bootkit unter Ausnutzung der Sicherheitslücke CVE-2022-21894 auf einen Rechner oder in ein Netzwerk gelangt ist, umgeht es normalerweise die Entdeckung. Die Malware deaktiviert im ersten Schritt Antivirenprogramme und widersteht Entfernungsversuchen mit entsprechenden Tools. Es gibt aber "Nebenwirkungen", die Hinweis auf eine BlackLotus-Infektion geben können.Bei der Analyse von Geräten, die mit BlackLotus infiziert sind, hat das Microsoft Incident Response Team mehrere Punkte im Installations- und Ausführungsprozess der Malware identifiziert, die eine Erkennung ermöglichen.
Hinweise auf BlackLotus-UEFI-Bootkit-Infektion sind:
- Kürzlich erstellte und gesperrte Bootloader-Dateien
- Vorhandensein eines Staging-Verzeichnisses, das während der BlackLotus-Installation im Dateisystem EPS:/ verwendet wird
- Änderung des Registrierungsschlüssels für die Hypervisor-geschützte Code-Integrität (HVCI)
- Netzwerk-Protokolle
- Boot-Konfigurationsprotokolle
- Artefakte der Boot-Partition
Da BlackLotus bösartige Bootloader-Dateien in die EFI-Systempartition, auch ESP genannt, schreiben muss, werden diese Dateien gesperrt, um ihr Löschen oder ihre Änderung zu verhindern. Kürzlich geänderte und gesperrte Dateien im ESP-Speicherort, insbesondere wenn sie mit bekannten BlackLotus-Bootloader-Dateinamen übereinstimmen, "sollten als höchst verdächtig betrachtet werden", so Microsoft.
Microsoft empfiehlt die Verwendung des Befehlszeilen-Dienstprogramms mountvol, um die Boot-Partition zu mounten und das Erstellungsdatum der Dateien mit nicht übereinstimmenden Erstellungszeiten zu überprüfen. Ein weiteres Erkennungsmerkmal von BlackLotus ist das Vorhandensein des Verzeichnisses "/system32/" auf dem ESP, in dem die für die Installation der UEFI-Malware erforderlichen Dateien gespeichert sind. Laut Microsoft werden bei einer erfolgreichen Installation von BlackLotus die Dateien im Verzeichnis "ESP:/system32/" gelöscht, das Verzeichnis bleibt jedoch bestehen.
Auch das Deaktivieren von Antivirenprogrammen gibt einen Hinweis auf Hacker.
Zusammenfassung
- Microsoft gibt Tipps zur Erkennung eines BlackLotus UEFI-Bootkit-Angriffs.
- Verwendung des Januar-Security-Patches empfohlen.
- Kürzlich geänderte und gesperrte Bootloader-Dateien im ESP-Speicherort als verdächtig betrachten.
- Verwendung des Befehlszeilen-Dienstprogramms mountvol zur Überprüfung des Erstellungsdatums.
- Vorhandensein des Verzeichnisses "/system32/" auf dem ESP als Hinweis auf BlackLotus-Infektion.
- Dateien im Verzeichnis "ESP:/system32/" werden gelöscht, aber Verzeichnis bleibt bestehen.
- Erinnerung an Verwendung des Januar-Security-Patches.
Siehe auch:
Kommentar abgeben
Netiquette beachten!
Jetzt als Amazon Blitzangebot
Ab 11:15 Uhr 
conisy RGB LED Series 120 mm Gehäuselüfter für Computer Gehäuse, Ultra Leiser Einzigartiger Licht PC Kühlung Lüfter
conisy RGB LED Series 120 mm Gehäuselüfter für Computer Gehäuse, Ultra Leiser Einzigartiger Licht PC Kühlung Lüfter Original Amazon-Preis
11,99 €
Blitzangebot-Preis
10,19 €
Ersparnis zu Amazon 15% oder 1,80 €
Neueste Downloads
Video-Empfehlungen
Neue Nachrichten
Beliebte Nachrichten
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen