BlackLotus 作為一個全能的固件 rootkit 在地下論壇上提供,能夠在任何刪除嘗試中倖存並繞過最先進的 Windows 保護。 當然,如果真正的惡意軟件樣本(malware)可以證明這個命題的真實性。
據報導,在地下論壇上出售的一個強大的新 UEFI rootkit 提供了以前只有情報機構和國家支持的威脅組織才能使用的高級攻擊功能。 BlackLotus,作為惡意軟件的未知供應商,是一個固件 rootkit,可以繞過 Windows 防禦,在 x86 架構的安全環的最低級別運行惡意代碼。
根據在惡意軟件論壇上發現 BlackLotus 廣告的安全研究人員的說法,一個 rootkit 用戶許可證的成本高達 5 美元,而隨後的代碼恢復成本“僅”為 200 美元。 鑑於賣家列出的功能,即使花費 5 美元,對於世界各地的網絡犯罪分子和黑客來說也是非常有利可圖的。
正如安全研究員 Scott Schaferman 發現的那樣,BlackLotus 是用彙編語言和 C 語言編寫的,大小為 80 KB,並且獨立於供應商。 rootkit 具有虛擬機保護、調試和代碼混淆功能以阻止或阻止分析嘗試,提供內核級“代理保護”(環 0)以保存在 UEFI 固件中,並附帶功能齊全的安裝指南和常見問題解答。
與任何其他適當的 rootkit 一樣,BlackLotus 在 Windows 啟動階段之前的啟動過程的早期階段加載。 該惡意軟件可以繞過許多 Windows 保護措施,包括 Secure Boot、UAC、BitLocker、HVCI 和 Windows Defender,同時提供下載未簽名驅動程序的能力。 該惡意軟件的其他高級功能包括功能齊全的文件傳輸模式和“易受攻擊的簽名引導加載程序”,如果不影響今天仍在使用的數百個引導加載程序,就無法使其失效。
Scott Schaeferman 強調了 BlackLotus 可能對現代基於固件的安全性構成的危險,使得以前只有國家資助的高級持續性威脅 (APT)(例如俄羅斯的 GRU 或中國的 APT 41)可以使用的威脅級別。 新的 UEFI rootkit 在易用性、可擴展性、可用性、彈性、規避和破壞潛力方面可能是網絡犯罪分子的真正飛躍。
UEFI rootkit 曾經被認為是非常罕見和專門的威脅,但過去幾年的許多發現都顯示出截然不同的情況。 至於 BlackLotus,安全社區將需要分析惡意軟件的真實樣本,以確定所宣傳的功能是否真實,是否已準備好傳播,或者是否只是精心設計的騙局。
你可以幫助烏克蘭對抗俄羅斯侵略者。 最好的方法是通過以下方式向烏克蘭武裝部隊捐款 拯救生命 或通過官方頁面 NBU.
也很有趣: