Het BlackLotus-virus nestelt zich in de UEFI van je apparaat en schakelt alle detectiemiddelen uit. Microsoft deelt enkele trucs hoe je het virus toch in de gaten krijgt.
BlackLotus kwam in maart onder de aandacht door een blog van Eset. Volgens de specialisten van de cybersecurityleverancier is het virus uniek in zijn soort. Het is de eerste UEFI-bootkit die erin slaagt om de ingebouwde Secure Boot-functie van Windows te omzeilen, een kwetsbaarheid die door Microsoft gekend is en de naam CVE-2022-21894 meekreeg. BlackLotus wordt dan ook voor vele duizenden euro’s verkocht op het dark web.
Dit type malware is sowieso moeilijker te detecteren dan andere virussen. Ze nestelen zich in de UEFI van het apparaat en schakelen zo Defender en andere antivirussoftware uit nog voor die in actie kan schieten. Bovendien kan BlackLotus ook volledig geüpdatete Windows 11-apparaten infecteren. Toch ben je niet volledig kansloos; het Microsoft Incident Response-team deelt enkele tips en trucs om BlackLotus te detecteren en onschadelijk te maken.
Rode vlaggen
Volgens Microsoft zijn er doorheen het installatie- en uitvoeringsproces verschillende elementen die er op kunnen wijzen dat een apparaat geïnfecteerd is geraakt met BlackLotus. Beveiligingsteams moeten onder meer naar deze zaken speuren:
- Recent geschreven bootloader bestanden
- Nieuw aangemaakte staging-mappen
- Gewijzigde registersleutels
- Windows Event-logs
- Verdacht gedrag op het netwerk
- Logboekvermeldingen voor bootconfiguratie
Microsoft waarschuwt wel dat deze indicatoren weinig betrouwbaar zijn, wanneer ze afzonderlijk worden bekeken. Door ze samen met andere gebeurtenissen te observeren, wordt hun belang om te bepalen of een apparaat is geïnfecteerd echter groter.
Voorkomen en genezen
Kan worden vastgesteld dat een apparaat geïnfecteerd is met BlackLotus, dan moet het zo snel mogelijk van het netwerk gehaald worden. Vervolgens dient het apparaat volledig opnieuw geformatteerd te worden of hersteld te worden met een back-up als die een schone ERF-partitie bevat.
Voorkomen is altijd beter dan genezen en ook hier zijn enkele ingrepen toe te passen die de kans op BlackLotus aanzienlijk verlagen. Het toepassen van een least privilege-principe is volgens Microsoft essentieel. Het beperken van lokale beheerdersrechten kan de bewegingsvrijheid van malware aanzienlijk inperken.
Microsoft raadt verder aan om antivirussoftware up-to-date te houden. Externe toepassingen weren uit UEFI Secure Boot helpt om BlackLotus aan banden te leggen, maar helpt niet tegen het voorkomen van infecties. Lees deze blog van Microsoft voor meer informatie.