BlackLotus je nabízen na podzemních fórech jako všemocný firmware rootkit schopný přežít jakékoli pokusy o odstranění a obejít nejpokročilejší ochranu Windows. Samozřejmě, pokud skutečné vzorky malwaru (malwaru) mohou prokázat reálnost návrhu.
Nový výkonný rootkit UEFI údajně k prodeji na podzemních fórech nabízí pokročilé útočné funkce, které byly dříve dostupné pouze zpravodajským agenturám a státem sponzorovaným skupinám hrozeb. BlackLotus, jak neznámý výrobce pojmenoval malware, je firmware rootkit, který dokáže obejít obranu Windows a spustit škodlivý kód na nejnižší úrovni bezpečnostních kruhů architektury x86.
Podle bezpečnostních výzkumníků, kteří objevili reklamy BlackLotus na malwarových fórech, stojí jedna uživatelská licence rootkitu až 5 200 USD a následné obnovení kódu stojí „jen“ 5 USD. Vzhledem k možnostem uvedeným prodejcem je i útrata XNUMX XNUMX $ pro kyberzločince a hackery po celém světě velmi lukrativní.
Jak zjistil bezpečnostní výzkumník Scott Schaferman, BlackLotus je napsán v jazycích Assembly a C, váží 80 KB a je nezávislý na prodejci. Rootkit obsahuje ochranu virtuálních strojů, ladění a zamlžování kódu pro blokování nebo zmaření pokusů o analýzu, poskytuje „ochranu agentů“ na úrovni jádra (kruh 0) pro uložení do firmwaru UEFI a přichází s plnohodnotným instalačním průvodcem a často kladenými dotazy.
Jako každý jiný správný rootkit je BlackLotus načten v raných fázích procesu spouštění před fází spouštění Windows. Malware dokáže obejít mnoho ochran Windows, včetně Secure Boot, UAC, BitLocker, HVCI a Windows Defender, a zároveň nabízí možnost stáhnout nepodepsané ovladače. Mezi další pokročilé funkce malwaru patří plnohodnotný režim přenosu souborů a „zranitelný podepsaný bootloader“, který nelze zneplatnit, aniž by to ovlivnilo stovky bootloaderů, které se dodnes používají.
Scott Schaeferman zdůrazňuje nebezpečí, které by BlackLotus mohl představovat pro moderní zabezpečení založené na firmwaru, a zpřístupnil tak úroveň hrozby dříve pouze státem sponzorovaným pokročilým trvalým hrozbám (APT), jako je ruská GRU nebo čínská APT 41, pro kohokoli. Nový rootkit UEFI by mohl být pro kyberzločince skutečným skokem vpřed, pokud jde o snadnost použití, škálovatelnost, dostupnost, odolnost, úniky a možnosti ničení.
Rootkity UEFI byly kdysi považovány za velmi vzácné a specializované hrozby, ale mnoho objevů za posledních několik let ukázalo velmi odlišný scénář. Pokud jde o BlackLotus, bezpečnostní komunita bude muset analyzovat reálný vzorek malwaru, aby určila, zda jsou inzerované funkce skutečné, zda je připraven k šíření, nebo jde pouze o dobře vytvořený podvod.
Můžete pomoci Ukrajině v boji proti ruským vetřelcům. Nejlepším způsobem, jak toho dosáhnout, je darovat finanční prostředky ozbrojeným silám Ukrajiny prostřednictvím Zachraňte život nebo přes oficiální stránku NBÚ.
Zajímavé také:
- SpyBuster od MacPaw nyní chrání před ruskými kybernetickými hrozbami v prohlížeči
- Google: Ruští hackeři vytvořili falešnou ukrajinskou aplikaci