BlackLotus се нуди на подземни форуми како семоќен rootkit на фирмверот способен да ги преживее сите обиди за отстранување и да ги заобиколи најнапредните заштити на Windows. Се разбира, ако вистинските примероци на малициозен софтвер (малвер) можат да ја докажат реалноста на предлогот.
Моќниот нов UEFI rootkit, наводно, за продажба на подземни форуми нуди напредни функции за напади кои претходно биле достапни само за разузнавачките агенции и за групите за закана спонзорирани од државата. BlackLotus, како што непознатиот продавач го нарече малициозниот софтвер, е rootkit на фирмверот што може да ја заобиколи одбраната на Windows за да изврши злонамерен код на најниското ниво на безбедносните прстени на архитектурата x86.
Според безбедносните истражувачи кои откриле реклами на BlackLotus на форумите за малициозен софтвер, една лиценца за корисник на rootkit чини до 5 долари, а последователното враќање на кодот чини „само“ 200 долари. Со оглед на можностите наведени од продавачот, дури и трошењето 5 илјади долари е многу профитабилно за сајбер криминалците и хакерите ширум светот.
Како што откри безбедносниот истражувач Скот Шаферман, BlackLotus е напишан на јазици на Assembly и C, тежи 80 KB и е независен од продавачот. Rootkit располага со заштита на виртуелната машина, дебагирање и замаглување на кодот за блокирање или спречување на обидите за анализа, обезбедува „заштита на агент“ на ниво на јадрото (прстен 0) за зачувување во фирмверот на UEFI и доаѓа со целосно опремен водич за инсталација и ЧПП.
Како и секој друг соодветен rootkit, BlackLotus се вчитува во раните фази на процесот на подигање пред фазата на стартување на Windows. Злонамерниот софтвер може да заобиколи многу заштита на Windows, вклучително и Secure Boot, UAC, BitLocker, HVCI и Windows Defender, додека нуди можност за преземање непотпишани драјвери. Други напредни функции на малициозниот софтвер вклучуваат режим на пренос на датотеки со целосни функции и „ранлив потпишан подигнувач“ кој не може да се поништи без да влијае на стотиците подигнувачи кои се уште се користат денес.
Скот Шеферман ја нагласува опасноста што BlackLotus може да ја претставува за модерната безбедност базирана на фирмвер, правејќи ниво на закана што претходно беше достапно само за Напредните постојани закани (APT) спонзорирани од државата, како што се руски GRU или кинески APT 41 достапни за секого. Новиот UEFI rootkit може да биде вистински скок напред за сајбер-криминалците во смисла на леснотија на користење, приспособливост, достапност, еластичност, затајување и потенцијал за уништување.
UEFI rootkits некогаш се сметаа за многу ретки и специјализирани закани, но многу откритија во изминатите неколку години покажаа многу поинакво сценарио. Што се однесува до BlackLotus, безбедносната заедница ќе треба да анализира примерок од реалниот свет на малициозен софтвер за да утврди дали рекламираните функции се реални, дали е подготвен да се шири или дали е само добро направена измама.
Можете да и помогнете на Украина да се бори против руските напаѓачи. Најдобар начин да го направите ова е да донирате средства за вооружените сили на Украина преку Савелифе или преку официјалната страница Bвезди.
Исто така интересно:
- SpyBuster на MacPaw сега штити од руски сајбер закани во прелистувачот
- Гугл: Руски хакери создадоа лажна украинска апликација