BlackLotus je ponúkaný na podzemných fórach ako všemocný firmvérový rootkit schopný prežiť akékoľvek pokusy o odstránenie a obísť najpokročilejšie ochrany Windows. Samozrejme, ak skutočné vzorky malvéru (malvéru) môžu dokázať reálnosť návrhu.
Nový výkonný rootkit UEFI údajne na predaj na podzemných fórach ponúka pokročilé útočné funkcie, ktoré boli predtým dostupné iba spravodajským agentúram a štátom sponzorovaným skupinám hrozieb. BlackLotus, ako neznámy predajca pomenoval malvér, je rootkit firmvéru, ktorý dokáže obísť obranu systému Windows a spustiť škodlivý kód na najnižšej úrovni bezpečnostných kruhov architektúry x86.
Podľa bezpečnostných výskumníkov, ktorí objavili reklamy BlackLotus na malvérových fórach, stojí jedna užívateľská licencia rootkitu až 5 dolárov a následné obnovenie kódu stojí „len“ 200 dolárov. Vzhľadom na možnosti, ktoré uvádza predajca, je pre kyberzločincov a hackerov po celom svete aj výdavok 5 XNUMX dolárov veľmi lukratívne.
Ako zistil bezpečnostný výskumník Scott Schaferman, BlackLotus je napísaný v jazykoch Assembly a C, váži 80 KB a je nezávislý od dodávateľa. Rootkit obsahuje ochranu virtuálnych počítačov, ladenie a zahmlievanie kódu na zablokovanie alebo zmarenie pokusov o analýzu, poskytuje „ochranu agentov“ na úrovni jadra (kruh 0) na uloženie do firmvéru UEFI a dodáva sa s plnohodnotným inštalačným sprievodcom a často kladenými otázkami.
Ako každý iný správny rootkit, BlackLotus sa načíta v počiatočných fázach procesu zavádzania pred fázou spustenia systému Windows. Malvér dokáže obísť mnohé ochrany Windows, vrátane Secure Boot, UAC, BitLocker, HVCI a Windows Defender, pričom ponúka možnosť stiahnuť nepodpísané ovládače. Medzi ďalšie pokročilé funkcie malvéru patrí plnohodnotný režim prenosu súborov a „zraniteľný podpísaný bootloader“, ktorý nemožno zrušiť bez ovplyvnenia stoviek bootloaderov, ktoré sa dodnes používajú.
Scott Schaeferman poukazuje na nebezpečenstvo, ktoré by BlackLotus mohol predstavovať pre modernú bezpečnosť založenú na firmvéri, pričom úroveň ohrozenia, ktorá bola predtým dostupná len štátom podporovaným pokročilým trvalým hrozbám (APT), ako je ruská GRU alebo čínska APT 41, je dostupná komukoľvek. Nový rootkit UEFI by mohol byť pre kyberzločincov skutočným skokom vpred, pokiaľ ide o jednoduchosť použitia, škálovateľnosť, dostupnosť, odolnosť, úniky a možnosti zničenia.
Rootkity UEFI boli kedysi považované za veľmi zriedkavé a špecializované hrozby, ale mnohé objavy za posledných pár rokov ukázali veľmi odlišný scenár. Pokiaľ ide o BlackLotus, bezpečnostná komunita bude musieť analyzovať skutočnú vzorku malvéru, aby zistila, či sú inzerované funkcie skutočné, či sú pripravené na šírenie alebo či ide len o dobre vytvorený podvod.
Môžete pomôcť Ukrajine v boji proti ruským útočníkom. Najlepším spôsobom, ako to urobiť, je darovať finančné prostriedky Ozbrojeným silám Ukrajiny prostredníctvom Zachrániť život alebo cez oficiálnu stránku NBU.
Tiež zaujímavé:
- SpyBuster od MacPaw teraz chráni pred ruskými kybernetickými hrozbami v prehliadači
- Google: Ruskí hackeri vytvorili falošnú ukrajinskú aplikáciu