BlackLotus 在地下论坛上作为一个全能的固件 rootkit 提供,能够在任何删除尝试中幸存下来并绕过最先进的 Windows 保护。 当然,如果恶意软件(malware)的真实样本可以证明这个命题的真实性。
据报道,在地下论坛上出售的一种功能强大的新 UEFI rootkit 提供了以前仅供情报机构和国家支持的威胁组织使用的高级攻击功能。 BlackLotus,作为恶意软件的未知供应商命名,是一种固件 rootkit,可以绕过 Windows 防御,在 x86 架构的安全环的最低级别运行恶意代码。
据在恶意软件论坛上发现 BlackLotus 广告的安全研究人员称,一个 Rootkit 用户许可证的费用高达 5 美元,而后续的代码恢复费用“仅”200 美元。 考虑到卖家列出的功能,即使花费 5 美元对于全球的网络犯罪分子和黑客来说也是非常有利可图的。
正如安全研究员 Scott Schaferman 发现的那样,BlackLotus 是用汇编语言和 C 语言编写的,重量为 80 KB,并且与供应商无关。 Rootkit 具有虚拟机保护、调试和代码混淆功能以阻止或阻止分析尝试,提供内核级“代理保护”(ring 0)以保存在 UEFI 固件中,并附带功能齐全的安装指南和常见问题解答。
与任何其他适当的 rootkit 一样,BlackLotus 在 Windows 启动阶段之前的引导过程的早期阶段加载。 该恶意软件可以绕过许多 Windows 保护,包括安全启动、UAC、BitLocker、HVCI 和 Windows Defender,同时提供下载未签名驱动程序的能力。 该恶意软件的其他高级功能包括全功能文件传输模式和“易受攻击的签名引导加载程序”,在不影响今天仍在使用的数百个引导加载程序的情况下,该程序无法失效。
Scott Schaeferman 强调了 BlackLotus 可能对基于固件的现代安全性构成的危险,使以前仅适用于国家支持的高级持续威胁 (APT)(例如俄罗斯的 GRU 或中国的 APT 41)的威胁级别可供任何人使用。 新的 UEFI rootkit 在易用性、可扩展性、可用性、弹性、逃避和破坏潜力方面可能是网络犯罪分子真正的飞跃。
UEFI rootkit 曾被认为是非常罕见和专门的威胁,但过去几年的许多发现表明情况截然不同。 至于 BlackLotus,安全社区将需要分析真实世界的恶意软件样本,以确定宣传的功能是否真实,是否准备好传播,或者它是否只是一个精心设计的骗局。
你可以帮助乌克兰对抗俄罗斯侵略者。 最好的方法是通过以下方式向乌克兰武装部队捐款 拯救生命 或通过官方页面 NBU.
也很有趣: