Microsoft는 Windows 보안 부팅, Defender, VBS, BitLocker 우회 BlackLotus에 대한 가이드를 게시합니다.

지난 달 ESET 맬웨어 방지 솔루션의 보안 연구 기관인 WeLiveSecurity는 BlackLotus 보안 취약점 에 대한 보고서를 발표했습니다 .

모르는 경우 BlackLotus는 UEFI 부트킷이며 이 맬웨어를 특히 위험하게 만드는 것은 업데이트된 Windows 11 시스템에서도 보안 부팅 시스템을 우회하는 기능입니다. 그 외에도 BlackLotus는 레지스트리를 수정하여 VBS(가상화 기반 보안) 기능인 HVCI(Hypervisor-protected Code Integrity)를 비활성화합니다. BitLocker 암호화도 마찬가지입니다. 또한 ELAM(Early Launch Anti-Malware) 드라이버 및 Windows Defender 파일 시스템 필터 드라이버를 조작하여 Windows Defender를 비활성화합니다. 궁극적인 목적은 악성 페이로드를 전달하는 HTTP 다운로더를 배포하는 것입니다.

“Baton Drop”(CVE-2022-21894)이라는 보안 취약점은 1년 전에 패치되었지만 서명된 바이너리가 아직 UEFI 폐기 목록에 추가되지 않았기 때문에 여전히 악용되고 있습니다. 최근 게시된 지침에서 Microsoft는 BlackLotus가 감염된 후 수행하는 악의적인 활동을 요약했습니다.

이 맬웨어는 CVE-2022-21894(Baton Drop이라고도 함)를 사용하여 Windows 보안 부팅을 우회하고 이후에 UEFI 펌웨어에 의해 실행되는 EFI 시스템 파티션(ESP)에 악성 파일을 배포합니다. 이를 통해 부트킷은 다음을 수행할 수 있습니다.

1. 위협 행위자의 MOK(Machine Owner Key)를 등록하여 지속성을 달성합니다.
2. 악성 커널 드라이버 배포를 허용하려면 HVCI를 끕니다.
3. 커널 드라이버를 활용하여 명령 및 제어(C2)용 사용자 모드 HTTP 다운로더 배포
4. Windows에서 변조 방지 전략을 방지하려면 Bitlocker를 끕니다.
5. 추가 검색을 방지하려면 Microsoft Defender 바이러스 백신을 끕니다.

지침에서 이 기술 대기업은 조직의 장치가 감염되었는지 확인하는 기술과 복구 및 예방 전략을 자세히 다루었습니다. Microsoft의 공식 웹 사이트 에서 읽을 수 있습니다 .