Mitme seadme litsentsid (mahuallahindlused)
Threat Database Malware BlackLotuse pahavara

BlackLotuse pahavara

Aastaks Mezo aastal Malware
Tõlgi:
Eesti

Häkkerite foorumites on müügiks pakutud pahavaraohtu, mida küberturvalisuse teadlased kirjeldavad kui peaaegu tuvastamatut. BlackLotusena jälgitav pahavara võib nakatada arvuti kõige põhilisemaid tasemeid ja muutuda äärmiselt raskesti eemaldatavaks. Tegelikult on selle võimalused samaväärsed ähvardavate tööriistadega, mida on täheldatud osana riiklikult toetatud häkkimisrühmade ja APT-de (Advanced Persistent Threats) arsenalis. Ilmselt võiksid huvitatud küberkurjategijad saada ohu loojatelt litsentsi 5000 dollari eest.

Nakatumine madalaimas alglaadimisolekus

BlackLotust kirjeldatakse kui UEFI (Unified Extensible Firmware Interface) alglaadimiskomplekti. UEFI on laialdaselt kasutatav spetsifikatsioon, mis kirjeldab tarkvara, mis on mõeldud OS-i (operatsioonisüsteemi) ja püsivara vahelise suhtluse hõlbustamiseks. Püsivara on omakorda tarkvara, mis tagab süsteemi riistvarakomponentide madala taseme juhtimise. UEFI asendas pärand BIOS-i (põhisisend/väljundsüsteem) alglaadimise püsivara. Lühidalt öeldes on UEFI üks esimesi asju, mis käivitub arvuti sisselülitamisel ja eelneb kerneli ja OS-i käivitamisele. Müüja sõnul on BlackLotuse pahavara ähvardavateks funktsioonideks muuhulgas Secure Boot bypass, RingO/Kernel kaitse eemaldamise eest ja võimalus Safe Mode käivitada.

Veelgi ohtlikumad omadused

Ilmselt on BlackLotus aga varustatud ka VM-i, silumisvastaste ja koodide hägustamise funktsioonidega, et vältida võimalikke analüüsikatseid. Ohu arendaja teatab, et BlackLotus on pahavaravastaste turbelahenduste jaoks täiesti tuvastamatu, kuna see töötab peidetuna rikutud seadme SÜSTEEMI konto all oleva seadusliku protsessi sees. Ründajad võivad kasutada ohtu ka mitme Windowsiga sisseehitatud turbekaitse keelamiseks, nagu HVCI (hüpervisoriga kaitstud koodi terviklikkus), UAC (kasutajakonto kontroll) ja isegi Microsoft Defender (varem tuntud kui Windows Defender).

BlackLotuse käsitlemine selle lisamisega UEFI tühistamisvõimalusele ei anna samuti olulisi tulemusi, kuna ära kasutatud haavatavust võib leida sadades praegu veel kasutusel olevates alglaadurites.

Trendikas

Enim vaadatud

Laadimine...