X

Microsoft veröffentlicht Anleitung zur Erkennung von UEFI-Bootkit-Hack

Microsoft hat eine Liste herausgegeben, mit der es einfacher gemacht wird, einen möglichen BlackLotus UEFI-Bootkit-Angriff auf den eigenen Rechner zu erkennen. Das Unternehmen gibt dazu nun Tipps und erinnert noch einmal daran, den Security-Patch zu nutzen.
12.04.2023  21:14 Uhr
Im Januar hatte Microsoft Informationen zu einer Sicherheitslücke veröffentlicht, die als Secure-Boot-Bypass (CVE-2022-21894) bekannt wurde. Es folgte die Behebung der Schwachstelle zum Januar Patch-Day. Anfang März wurde dann bekannt, dass eine bisher unbekannte Gruppe eine Malware mit dem Namen BlackLotus entwickelt hat, die als erstes UEFI-Bootkit das Secure Boot-Feature von Windows überwinden kann. Nun macht Microsoft noch einmal darauf aufmerksam, wie wichtig es ist, das Update von Januar zu installieren und stellt einen Leitfaden zur Hand, um Infektionen mit der BlackLotus-Malware zu entdecken. Das gestaltet sich gar nicht so einfach.


Antivirenprogramme werden ausgeschaltet

Falls das UEFI-Bootkit unter Ausnutzung der Sicherheitslücke CVE-2022-21894 auf einen Rechner oder in ein Netzwerk gelangt ist, umgeht es normalerweise die Entdeckung. Die Malware deaktiviert im ersten Schritt Antivirenprogramme und widersteht Entfernungsversuchen mit entsprechenden Tools. Es gibt aber "Nebenwirkungen", die Hinweis auf eine BlackLotus-Infektion geben können.

Bei der Analyse von Geräten, die mit BlackLotus infiziert sind, hat das Microsoft Incident Response Team mehrere Punkte im Installations- und Ausführungsprozess der Malware identifiziert, die eine Erkennung ermöglichen.

Hinweise auf BlackLotus-UEFI-Bootkit-Infektion sind:

  • Kürzlich erstellte und gesperrte Bootloader-Dateien
  • Vorhandensein eines Staging-Verzeichnisses, das während der BlackLotus-Installation im Dateisystem EPS:/ verwendet wird
  • Änderung des Registrierungsschlüssels für die Hypervisor-geschützte Code-Integrität (HVCI)
  • Netzwerk-Protokolle
  • Boot-Konfigurationsprotokolle
  • Artefakte der Boot-Partition

Da BlackLotus bösartige Bootloader-Dateien in die EFI-Systempartition, auch ESP genannt, schreiben muss, werden diese Dateien gesperrt, um ihr Löschen oder ihre Änderung zu verhindern. Kürzlich geänderte und gesperrte Dateien im ESP-Speicherort, insbesondere wenn sie mit bekannten BlackLotus-Bootloader-Dateinamen übereinstimmen, "sollten als höchst verdächtig betrachtet werden", so Microsoft.

Microsoft empfiehlt die Verwendung des Befehlszeilen-Dienstprogramms mountvol, um die Boot-Partition zu mounten und das Erstellungsdatum der Dateien mit nicht übereinstimmenden Erstellungszeiten zu überprüfen. Ein weiteres Erkennungsmerkmal von BlackLotus ist das Vorhandensein des Verzeichnisses "/system32/" auf dem ESP, in dem die für die Installation der UEFI-Malware erforderlichen Dateien gespeichert sind. Laut Microsoft werden bei einer erfolgreichen Installation von BlackLotus die Dateien im Verzeichnis "ESP:/system32/" gelöscht, das Verzeichnis bleibt jedoch bestehen.

Auch das Deaktivieren von Antivirenprogrammen gibt einen Hinweis auf Hacker.

Zusammenfassung
  • Microsoft gibt Tipps zur Erkennung eines BlackLotus UEFI-Bootkit-Angriffs.
  • Verwendung des Januar-Security-Patches empfohlen.
  • Kürzlich geänderte und gesperrte Bootloader-Dateien im ESP-Speicherort als verdächtig betrachten.
  • Verwendung des Befehlszeilen-Dienstprogramms mountvol zur Überprüfung des Erstellungsdatums.
  • Vorhandensein des Verzeichnisses "/system32/" auf dem ESP als Hinweis auf BlackLotus-Infektion.
  • Dateien im Verzeichnis "ESP:/system32/" werden gelöscht, aber Verzeichnis bleibt bestehen.
  • Erinnerung an Verwendung des Januar-Security-Patches.

< Zurück Startseite
 
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2023 WinFuture