Microsoft muestra que hay formas en que los equipos de TI pueden detectar una pieza de malware «invisible» y obstinadamente persistente (se abre en una pestaña nueva) llamado BlackLotus, ya que el gigante de Redmond publica una guía detallada sobre la defensa contra el bootkit UEFI.
BlackLotus es una variante de malware sofisticada que se dirige a la interfaz de firmware extensible unificada, o UEFI, que arranca prácticamente todos los componentes de las computadoras actuales.
Como se ejecuta antes que el sistema operativo de la computadora, colocar el malware aquí significa que puede desactivar las protecciones antivirus o incluso permanecer operativo mientras las soluciones de seguridad están en funcionamiento. También significa que el malware permanecerá en el dispositivo incluso después de reinstalar el sistema operativo, e incluso si la víctima reemplaza el disco duro.
Detectar el malware
Los actores de amenazas generalmente buscan implementar BlackLotus aprovechando una vulnerabilidad rastreada como CVE-2022-21894. El malware está a la venta en los foros oscuros, con un precio aproximado de $ 5,000, informa BleepingComputer. Las reconstrucciones están disponibles por aproximadamente $ 200.
Todo esto hace que sea muy difícil de detectar y eliminar. Sin embargo, con la guía de Microsoft, debería ser un poco más fácil. Según el informe, el análisis de estos artefactos puede ayudar a determinar si su sistema ha sido infectado con el bootkit BlackLotus UEFI:
- Archivos del gestor de arranque bloqueados y creados recientemente
- Presencia de un directorio provisional utilizado durante la instalación de BlackLotus en el sistema de archivos EPS:/
- Modificación de la clave de registro para la integridad del código protegido por hipervisor (HVCI)
- Registros de red
- Registros de configuración de arranque
- Artefactos de partición de arranque
Para limpiar un dispositivo de un compromiso de BlackLotus, uno debe eliminarlo de la red y reinstalarlo con un sistema operativo limpio y una partición EFI, instruyen los investigadores. Alternativamente, pueden restaurarlo desde una copia de seguridad limpia con una partición EFI.
También vale la pena mencionar que los actores de amenazas deben aprovechar una vulnerabilidad específica, CVE-2022-21894, para implementar BlackLotus. Tener un parche instalado que aborde esta vulnerabilidad también puede ayudar a proteger el dispositivo de futuras infecciones.
Finalmente, como dice la compañía: “Evite el uso de cuentas de servicio de nivel de administrador en todo el dominio. Restringir los privilegios administrativos locales puede ayudar a limitar la instalación de troyanos de acceso remoto (RAT) y otras aplicaciones no deseadas”.
Vía: BleepingComputer (se abre en una pestaña nueva)