微软展示了IT团队有多种方法可以检测到一种名为BlackLotus的“隐形”且顽固存在的恶意软件,因为这家雷德蒙德巨头发布了有关防御UEFIbootkit的详细指南。
BlackLotus是一种复杂的恶意软件变体,它以统一可扩展固件接口(UEFI)为目标,它几乎可以启动当今计算机的每个组件。
由于它在计算机操作系统之前运行,将恶意软件放在这里意味着它可以禁用防病毒保护,甚至可以在安全解决方案启动和运行时保持运行。这也意味着即使在重新安装操作系统后,恶意软件仍将保留在设备上——即使受害者更换了硬盘。
所有这些都使得检测和删除变得非常困难。不过,有了微软的指导,应该会容易一些。根据报告,分析这些工件可以帮助确定您的系统是否已感染BlackLotusUEFIbootkit:
研究人员指示,要从BlackLotus妥协中清除设备,必须将其从网络中删除,然后使用干净的操作系统和EFI分区重新安装。或者,他们可以使用EFI分区从干净的备份中恢复它。
还值得一提的是,威胁参与者需要利用特定漏洞-CVE-2022-21894-来部署BlackLotus。安装解决此漏洞的补丁程序还可以帮助保护设备免受未来感染。
最后,正如该公司所说:“避免使用域范围内的管理员级服务帐户。限制本地管理权限有助于限制远程访问木马(RAT)和其他不需要的应用程序的安装”。