BlackLotus는 지하 포럼에서 모든 제거 시도에서 살아남고 가장 진보된 Windows 보호 기능을 우회할 수 있는 강력한 펌웨어 루트킷으로 제공됩니다. 물론 악성코드(악성코드)의 실제 샘플이라면 그 명제의 현실을 증명할 수 있다.
지하 포럼에서 판매되는 것으로 알려진 강력한 새로운 UEFI 루트킷은 이전에는 정보 기관 및 국가 후원 위협 그룹에서만 사용할 수 있었던 고급 공격 기능을 제공합니다. 멀웨어라는 이름을 알 수 없는 공급업체인 BlackLotus는 Windows 방어를 우회하여 x86 아키텍처 보안 링의 가장 낮은 수준에서 악성 코드를 실행할 수 있는 펌웨어 루트킷입니다.
멀웨어 포럼에서 BlackLotus 광고를 발견한 보안 연구원에 따르면 하나의 루트킷 사용자 라이선스 비용은 최대 $5이고 후속 코드 복구 비용은 "단" $200입니다. 판매자가 나열한 기능을 고려할 때 5달러를 지출하는 것만으로도 전 세계의 사이버 범죄자와 해커에게 매우 유리합니다.
보안 연구원 Scott Schaferman이 밝혔듯이 BlackLotus는 어셈블리 및 C 언어로 작성되었으며 무게는 80KB이며 공급업체에 독립적입니다. 루트킷은 가상 머신 보호, 디버깅 및 코드 난독화를 통해 분석 시도를 차단하거나 저지하고 UEFI 펌웨어에 저장하기 위해 커널 수준 "에이전트 보호"(링 0)를 제공하며 모든 기능을 갖춘 설치 가이드 및 FAQ와 함께 제공됩니다.
다른 적절한 루트킷과 마찬가지로 BlackLotus는 Windows 시작 단계 전에 부팅 프로세스의 초기 단계에서 로드됩니다. 이 맬웨어는 보안 부팅, UAC, BitLocker, HVCI 및 Windows Defender를 비롯한 많은 Windows 보호 기능을 우회하는 동시에 서명되지 않은 드라이버를 다운로드할 수 있는 기능을 제공합니다. 멀웨어의 다른 고급 기능에는 완전한 기능을 갖춘 파일 전송 모드와 오늘날 여전히 사용 중인 수백 개의 부트로더에 영향을 주지 않고는 무효화할 수 없는 "취약한 서명된 부트로더"가 있습니다.
Scott Schaeferman은 BlackLotus가 최신 펌웨어 기반 보안에 제기할 수 있는 위험을 강조하여 이전에는 러시아의 GRU 또는 중국의 APT 41과 같은 국가 후원 APT(Advanced Persistent Threats)에서만 사용할 수 있었던 위협 수준을 누구나 사용할 수 있게 했습니다. 새로운 UEFI 루트킷은 사용 용이성, 확장성, 가용성, 탄력성, 회피 및 파괴 가능성 측면에서 사이버 범죄자에게 진정한 도약이 될 수 있습니다.
UEFI 루트킷은 한때 매우 희귀하고 특수한 위협으로 간주되었지만 지난 몇 년 동안 많은 발견이 매우 다른 시나리오를 보여주었습니다. BlackLotus의 경우 보안 커뮤니티는 실제 악성 코드 샘플을 분석하여 광고된 기능이 진짜인지, 확산될 준비가 되었는지 또는 잘 만들어진 사기인지 확인해야 합니다.
당신은 우크라이나가 러시아 침략자에 맞서 싸울 수 있도록 도울 수 있습니다. 이를 수행하는 가장 좋은 방법은 다음을 통해 우크라이나 군대에 기금을 기부하는 것입니다. 세이브라이프 또는 공식 페이지를 통해 NBU.
또한 흥미로운: