BlackLotus yeraltı forumlarda hər hansı silmə cəhdlərindən sağ çıxa bilən və Windows-un ən qabaqcıl qorumalarından yan keçə bilən tam güclü mikroproqram rootkiti kimi təklif olunur. Təbii ki, əgər real zərərli proqram nümunələri (zərərli proqram) təklifin reallığını sübut edə bilsə.
Yeraltı forumlarda satışa çıxarılan güclü yeni UEFI rootkiti əvvəllər yalnız kəşfiyyat agentlikləri və dövlət tərəfindən dəstəklənən təhdid qrupları üçün mövcud olan qabaqcıl hücum xüsusiyyətləri təklif edir. Zərərli proqram adlandırılan naməlum satıcı kimi BlackLotus, x86 arxitekturasının təhlükəsizlik halqalarının ən aşağı səviyyəsində zərərli kodu işlətmək üçün Windows müdafiəsini yan keçə bilən mikro proqram rootkitidir.
Zərərli proqram forumlarında BlackLotus reklamlarını aşkar edən təhlükəsizlik tədqiqatçılarının fikrincə, bir rootkit istifadəçi lisenziyasının qiyməti 5 dollara qədər, kodun sonrakı bərpası isə “cəmi” 200 dollara başa gəlir. Satıcının sadaladığı imkanları nəzərə alsaq, hətta bütün dünyada kibercinayətkarlar və hakerlər üçün 5 min dollar xərcləmək çox gəlirlidir.
Təhlükəsizlik tədqiqatçısı Scott Schaferman aşkar etdiyi kimi, BlackLotus Assembly və C dillərində yazılmışdır, 80 KB ağırlığındadır və satıcıdan müstəqildir. Rootkit analiz cəhdlərini bloklamaq və ya qarşısını almaq üçün virtual maşının qorunması, sazlanması və kodu gizlətməsi xüsusiyyətlərinə malikdir, UEFI proqram təminatında saxlamaq üçün nüvə səviyyəsində "agent qorunması" (ring 0) təmin edir və tam funksiyalı quraşdırma təlimatı və tez-tez verilən suallarla birlikdə gəlir.
Hər hansı digər düzgün rootkit kimi, BlackLotus da yükləmə prosesinin ilkin mərhələlərində Windows-un işə salınma mərhələsindən əvvəl yüklənir. Zərərli proqram imzasız sürücüləri yükləmək imkanı təklif edərkən, Secure Boot, UAC, BitLocker, HVCI və Windows Defender daxil olmaqla bir çox Windows müdafiəsini keçə bilər. Zərərli proqramın digər qabaqcıl xüsusiyyətlərinə tam xüsusiyyətli fayl ötürmə rejimi və bu gün də istifadə olunan yüzlərlə yükləyiciyə təsir etmədən etibarsız hesab edilə bilməyən "həssas imzalanmış yükləyici" daxildir.
Scott Schaeferman BlackLotus-un müasir proqram təminatı əsaslı təhlükəsizlik üçün yarada biləcəyi təhlükəni vurğulayır və bu təhlükə səviyyəsini əvvəllər yalnız Rusiyanın GRU və ya Çinin APT 41-i kimi dövlət tərəfindən dəstəklənən Qabaqcıl Davamlı Təhdidlər (APT) üçün əlçatan edir. Yeni UEFI rootkiti kibercinayətkarlar üçün istifadənin asanlığı, genişlənmə qabiliyyəti, əlçatanlıq, davamlılıq, yayınma və məhvetmə potensialı baxımından əsl sıçrayış ola bilər.
UEFI rootkitləri bir vaxtlar çox nadir və xüsusi təhlükələr hesab olunurdu, lakin son bir neçə ildə bir çox kəşflər çox fərqli bir ssenari göstərdi. BlackLotus-a gəlincə, təhlükəsizlik ictimaiyyəti reklam edilən funksiyaların real olub-olmadığını, yayılmağa hazır olub olmadığını və ya sadəcə yaxşı hazırlanmış bir fırıldaq olduğunu müəyyən etmək üçün zərərli proqramın real dünya nümunəsini təhlil etməlidir.
Siz Ukraynaya rus işğalçılarına qarşı mübarizədə kömək edə bilərsiniz. Bunun ən yaxşı yolu Ukrayna Silahlı Qüvvələrinə pul köçürməkdir Savelife və ya rəsmi səhifə vasitəsilə NBU.
Həmçinin maraqlıdır:
- MacPaw-un SpyBuster proqramı indi brauzerdə rus kibertəhlükələrindən qoruyur
- Google: Rusiyalı hakerlər saxta Ukrayna proqramı yaradıblar