{"id":571818,"date":"2023-04-13T19:11:10","date_gmt":"2023-04-13T19:11:10","guid":{"rendered":"https:\/\/magazineoffice.com\/microsoft-da-consejos-para-detectar-este-malware-indetectable\/"},"modified":"2023-04-13T19:11:14","modified_gmt":"2023-04-13T19:11:14","slug":"microsoft-da-consejos-para-detectar-este-malware-indetectable","status":"publish","type":"post","link":"https:\/\/magazineoffice.com\/microsoft-da-consejos-para-detectar-este-malware-indetectable\/","title":{"rendered":"Microsoft da consejos para detectar este malware indetectable"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"article-body\">\n<p>Microsoft muestra que hay formas en que los equipos de TI pueden detectar una pieza de malware \u00abinvisible\u00bb y obstinadamente persistente<span class=\"sr-only\"> (se abre en una pesta\u00f1a nueva)<\/span> llamado BlackLotus, ya que el gigante de Redmond publica una gu\u00eda detallada sobre la defensa contra el bootkit UEFI.<\/p>\n<p>BlackLotus es una variante de malware sofisticada que se dirige a la interfaz de firmware extensible unificada, o UEFI, que arranca pr\u00e1cticamente todos los componentes de las computadoras actuales. <\/p>\n<aside class=\"hawk-nest\" data-render-type=\"fte\" data-skip=\"dealsy\" data-widget-type=\"seasonal\"\/>\n<p>Como se ejecuta antes que el sistema operativo de la computadora, colocar el malware aqu\u00ed significa que puede desactivar las protecciones antivirus o incluso permanecer operativo mientras las soluciones de seguridad est\u00e1n en funcionamiento.  Tambi\u00e9n significa que el malware permanecer\u00e1 en el dispositivo incluso despu\u00e9s de reinstalar el sistema operativo, e incluso si la v\u00edctima reemplaza el disco duro.<\/p>\n<h2 id=\"spotting-the-malware\">Detectar el malware<\/h2>\n<p>Los actores de amenazas generalmente buscan implementar BlackLotus aprovechando una vulnerabilidad rastreada como CVE-2022-21894.  El malware est\u00e1 a la venta en los foros oscuros, con un precio aproximado de $ 5,000, informa BleepingComputer.  Las reconstrucciones est\u00e1n disponibles por aproximadamente $ 200.<\/p>\n<p>Todo esto hace que sea muy dif\u00edcil de detectar y eliminar.  Sin embargo, con la gu\u00eda de Microsoft, deber\u00eda ser un poco m\u00e1s f\u00e1cil.  Seg\u00fan el informe, el an\u00e1lisis de estos artefactos puede ayudar a determinar si su sistema ha sido infectado con el bootkit BlackLotus UEFI:<\/p>\n<ul>\n<li>Archivos del gestor de arranque bloqueados y creados recientemente<\/li>\n<li>Presencia de un directorio provisional utilizado durante la instalaci\u00f3n de BlackLotus en el sistema de archivos EPS:\/<\/li>\n<li>Modificaci\u00f3n de la clave de registro para la integridad del c\u00f3digo protegido por hipervisor (HVCI)<\/li>\n<li>Registros de red<\/li>\n<li>Registros de configuraci\u00f3n de arranque<\/li>\n<li>Artefactos de partici\u00f3n de arranque<\/li>\n<\/ul>\n<p>Para limpiar un dispositivo de un compromiso de BlackLotus, uno debe eliminarlo de la red y reinstalarlo con un sistema operativo limpio y una partici\u00f3n EFI, instruyen los investigadores.  Alternativamente, pueden restaurarlo desde una copia de seguridad limpia con una partici\u00f3n EFI.<\/p>\n<p>Tambi\u00e9n vale la pena mencionar que los actores de amenazas deben aprovechar una vulnerabilidad espec\u00edfica, CVE-2022-21894, para implementar BlackLotus.  Tener un parche instalado que aborde esta vulnerabilidad tambi\u00e9n puede ayudar a proteger el dispositivo de futuras infecciones. <\/p>\n<p>Finalmente, como dice la compa\u00f1\u00eda: \u201cEvite el uso de cuentas de servicio de nivel de administrador en todo el dominio.  Restringir los privilegios administrativos locales puede ayudar a limitar la instalaci\u00f3n de troyanos de acceso remoto (RAT) y otras aplicaciones no deseadas\u201d.<\/p>\n<p>V\u00eda: BleepingComputer<span class=\"sr-only\"> (se abre en una pesta\u00f1a nueva)<\/span><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/magazineoffice.com\/\">Source link-35<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Microsoft muestra que hay formas en que los equipos de TI pueden detectar una pieza de malware \u00abinvisible\u00bb y obstinadamente persistente (se abre en una pesta\u00f1a nueva) llamado BlackLotus, ya&hellip;<\/p>\n","protected":false},"author":1,"featured_media":535976,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[7161,19829,87,53359,848,683,107],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/571818"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=571818"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/571818\/revisions"}],"predecessor-version":[{"id":571819,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/571818\/revisions\/571819"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/535976"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=571818"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=571818"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=571818"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}