Microsoft a partagé des conseils pour aider les organisations à vérifier si des pirates ont ciblé ou compromis des machines avec le kit de démarrage BlackLotus UEFI en exploitant la vulnérabilité CVE-2022-21894.
Les organisations et les particuliers peuvent également utiliser les conseils de Microsoft pour se remettre d’une attaque et empêcher les pirates utilisant BlackLotus d’atteindre la persistance et d’échapper à la détection.
BlackLotus est disponible depuis l’année dernière sur les forums de piratage, présenté comme un logiciel malveillant qui échappe à la détection antivirus, résiste aux tentatives de suppression et peut désactiver diverses fonctions de sécurité (par exemple, Defender, HVCI, BitLocker). Le prix d’une licence était de 5 000 $, avec des reconstructions disponibles pour 200 $.
Les capacités du malware ont été confirmées début mars par des chercheurs de la société de cybersécurité ESET, qui ont noté que le malware fonctionnait exactement comme annoncé.
Localisation des indices d’infection par BlackLotus
Les logiciels malveillants pour l’interface UEFI (Unified Extensible Firmware Interface) sont particulièrement difficiles à détecter car ces menaces s’exécutent avant le système d’exploitation, étant capables de déployer des charges utiles au début du processus de démarrage pour désactiver les mécanismes de sécurité.
Les logiciels malveillants pour l’interface UEFI (Unified Extensible Firmware Interface) sont particulièrement difficiles à détecter car ce type de menace s’exécute avant le démarrage du système d’exploitation, ce qui lui permet de déployer des charges utiles au début du processus de démarrage pour désactiver les mécanismes de sécurité.
En analysant les appareils compromis avec BlackLotus, l’équipe Microsoft Incident Response a identifié plusieurs points dans le processus d’installation et d’exécution du logiciel malveillant qui permettent sa détection.
Les chercheurs notent que les défenseurs peuvent rechercher les artefacts suivants pour déterminer une infection du bootkit BlackLotus UEFI :
- Fichiers de chargeur de démarrage récemment créés et verrouillés
- Présence d’un répertoire intermédiaire utilisé lors de l’installation de BlackLotus dans le système de fichiers EPS:/
- Modification de la clé de registre pour l’intégrité du code protégé par l’hyperviseur (HVCI)
- Journaux réseau
- Journaux de configuration de démarrage
Artefacts de partition de démarrage
Étant donné que BlackLotus doit écrire des fichiers de chargeur de démarrage malveillants sur la partition système EFI, également appelée ESP, il les verrouillera pour empêcher leur suppression ou leur modification.
Les fichiers récemment modifiés et verrouillés dans l’emplacement ESP, en particulier s’ils correspondent aux noms de fichiers connus du chargeur de démarrage BlackLotus « devraient être considérés comme hautement suspects ». Il est conseillé de supprimer les appareils du réseau et de les examiner pour rechercher des preuves d’activité liées à BlackLotus.
Microsoft recommande d’utiliser l’utilitaire de ligne de commande mountvol pour monter la partition de démarrage et vérifier la date de création des fichiers dont les heures de création ne correspondent pas.
Vous pouvez monter la partition ESP à l’aide de la commande suivante dans une invite de commande avec des privilèges d’administrateur :
Par exemple, si la lettre de lecteur G: est libre, vous pouvez exécuter cette commande :
Si l’heure de modification ne semble pas suspecte, les chasseurs de menaces peuvent essayer de calculer le hachage du fichier du chargeur de démarrage. Sur un appareil compromis, la sortie devrait être une erreur d’accès au fichier car BlackLotus les verrouille pour empêcher leur falsification.
Un autre révélateur de BlackLotus est la présence du répertoire « /system32/ » sur l’ESP, qui est l’emplacement de stockage des fichiers nécessaires à l’installation du malware UEFI.
Microsoft indique qu’une installation réussie de BlackLotus entraîne la suppression des fichiers à l’intérieur de « ESP:/system32/ » mais le répertoire reste. Les analystes judiciaires peuvent l’utiliser pour rechercher les fichiers supprimés.
Registre, journaux et indices réseau
L’une des fonctionnalités de BlackLotus consiste à désactiver l’intégrité du code protégé par l’hyperviseur (HVCI), ce qui lui permet de charger du code de noyau non signé.
Ceci est réalisé en mettant à 0 (zéro) la valeur Enabled de la clé de registre HVCI, comme dans l’image ci-dessous.
Une deuxième fonctionnalité de sécurité que BlackLotus désactive est Microsoft Defender Antivirus, l’agent de sécurité par défaut sur le système d’exploitation Windows.
Cette action peut laisser des traces dans les journaux d’événements Windows sous la forme d’une entrée sous Microsoft-Windows-Windows Defender/Operational Log.
La désactivation de Defender peut également générer un ID d’événement 7023 dans le journal des événements système suite à l’arrêt inattendu du service.
Les enquêteurs de Microsoft conseillent aux chasseurs de menaces d’examiner les journaux réseau pour les connexions sortantes de winlogon.exe sur le port 80, ce qui peut indiquer que BlackLotus tente de communiquer avec son serveur de commande et de contrôle (C2).
« Ceci est le résultat de la fonction de téléchargement HTTP injectée de BlackLotus se connectant au serveur C2 ou effectuant la découverte de la configuration réseau » – Microsoft
Des preuves supplémentaires de la compromission de BlackLotus peuvent être présentes dans les journaux de configuration de démarrage – journaux MeasuredBoot, qui fournissent des détails sur le processus de démarrage de Windows.
Lorsque le bootkit devient actif, deux pilotes de démarrage deviennent disponibles, spécifiquement grubx64.efi et winload.efi. En comparant les journaux pour chaque redémarrage du système, les analystes peuvent trouver les composants qui ont été ajoutés ou supprimés à chaque démarrage de la machine.
Microsoft avertit que l’accès aux fichiers journaux MeasuredBoot est possible à l’aide d’une image médico-légale ou d’un outil de lecture NTFS brut.
Les données peuvent être lues après décodage et conversion au format de fichier XML ou JSON. Microsoft fournit un exemple de script basé sur TCGLogTools open source pour l’analyse et l’extraction des journaux
Vous trouverez ci-dessous un exemple des pilotes BlackLotus que l’exemple de script a montré sur une machine infectée :
Empêcher la compromission de BlackLotus
Nettoyer une machine après une infection par BlackLotus nécessite de la retirer du réseau et de la réinstaller avec un système d’exploitation et une partition EFI propres, ou de restaurer à partir d’une sauvegarde propre avec une partition EFI.
Alors que les artefacts post-infection sont révélateurs pour déterminer le type de malware utilisé, les défenseurs peuvent empêcher la compromission en détectant une intrusion avant que l’adversaire ne puisse déployer le malware UEFI.
Cependant, le lancement
d’un bootkit UEFI nécessite un accès privilégié à la machine cible, à distance ou physique, ce qui signifie qu’une menace de premier niveau et un vecteur d’accès initial précèdent l’infection persistante.
Pour repousser une infection via BlackLotus ou d’autres logiciels malveillants exploitant CVE-2022-21894, Microsoft recommande aux organisations de pratiquer le principe du moindre privilège et de l’hygiène des informations d’identification.
« Évitez l’utilisation de comptes de service de niveau administrateur à l’échelle du domaine. Restreindre les privilèges administratifs locaux peut aider à limiter l’installation de chevaux de Troie d’accès à distance (RAT) et d’autres applications indésirables » – Microsoft
En mettant en œuvre plusieurs couches de contrôles de sécurité, appelées stratégies de défense en profondeur, les organisations peuvent réduire le risque qu’un adversaire obtienne un accès ou un privilège administratif dans l’environnement.
Cela peut essentiellement arrêter une attaque BlackLotus à ses débuts avant que l’acteur de la menace ne puisse compromettre les informations d’identification d’un utilisateur ou d’un compte de service pour se déplacer latéralement sur le réseau et élever ses privilèges.