بدافزار BlackLotus
یک تهدید بدافزار که محققان امنیت سایبری آن را «تقریباً غیرقابل کشف» توصیف میکنند تأیید شده است که برای فروش در انجمنهای هکرها عرضه شده است. این بدافزار که به عنوان BlackLotus ردیابی می شود، می تواند اساسی ترین سطوح یک رایانه را آلوده کند و حذف آن بسیار دشوار باشد. در واقع، قابلیتهای آن، آن را با ابزارهای تهدیدکنندهای که به عنوان بخشی از زرادخانه گروههای هک و APT (تهدیدهای پایدار پیشرفته) مورد حمایت دولت مشاهده میشوند، برابری میکند. ظاهراً مجرمان سایبری علاقه مند می توانند با پرداخت 5000 دلار از سازندگان تهدید مجوز بگیرند.
عفونت در پایین ترین حالت بوت
BlackLotus به عنوان یک بوت کیت UEFI (رابط میانافزار توسعه پذیر یکپارچه) توصیف می شود. UEFI یک مشخصات پرکاربرد است که نرم افزار اختصاص داده شده برای تسهیل ارتباط بین سیستم عامل (سیستم عامل) و سیستم عامل را توصیف می کند. به نوبه خود، سیستم عامل نرم افزاری است که کنترل سطح پایین اجزای سخت افزاری سیستم را فراهم می کند. UEFI جایگزین سفتافزار بوت بایوس قدیمی (Basic Input/Output System) شد. به طور خلاصه، UEFI یکی از اولین چیزهایی است که هنگام روشن شدن رایانه و قبل از بوت شدن هسته و سیستم عامل راه اندازی می شود. به گفته فروشنده، ویژگیهای تهدیدکننده بدافزار BlackLotus شامل دور زدن راهاندازی امن، حفاظت RingO/Kernel در برابر حذف شدن و امکان شروع در حالت ایمن است.
حتی ویژگی های تهدید کننده تر
با این حال، ظاهراً BlackLotus به ویژگیهای anti-VM، anti-debug و کد مبهم برای جلوگیری از هرگونه تلاش بالقوه تحلیل مجهز است. توسعهدهنده این تهدید میگوید که BlackLotus کاملاً توسط راهحلهای امنیتی ضد بدافزار غیرقابل شناسایی است، زیرا در یک فرآیند قانونی زیر حساب SYSTEM دستگاه نقض شده پنهان در حال اجرا است. مهاجمان همچنین میتوانند از این تهدید برای غیرفعال کردن چندین محافظت امنیتی که با ویندوز ارائه میشوند، مانند HVCI (یکپارچگی کد محافظت شده از Hypervisor)، UAC (کنترل حساب کاربری) و حتی Microsoft Defender (که قبلاً Windows Defender نامیده میشد) استفاده کنند.
مقابله با BlackLotus با افزودن آن به قابلیت لغو UEFI نیز هیچ نتیجه معنی داری ارائه نمی دهد، زیرا آسیب پذیری مورد سوء استفاده را می توان در صدها بوت لودر یافت که در حال حاضر هنوز در حال استفاده هستند.