Шкідливе програмне забезпечення BlackLotus
Підтверджено, що загроза зловмисного програмного забезпечення, яку дослідники кібербезпеки описують як «майже невиявлену», продається на хакерських форумах. Зловмисне програмне забезпечення, яке відстежується як BlackLotus, може заразити найфундаментальніші рівні комп’ютера, і його стає надзвичайно важко видалити. Фактично, його можливості ставлять його в один ряд із загрозливими інструментами, які спостерігаються як частина арсеналу державних хакерських груп і APT (Advanced Persistent Threats). Судячи з усього, зацікавлені кіберзлочинці могли отримати ліцензію від творців загрози за $5000.
Зараження в стані найнижчого завантаження
BlackLotus описується як буткіт UEFI (Unified Extensible Firmware Interface). UEFI — це широко використовувана специфікація, яка описує програмне забезпечення, призначене для полегшення зв’язку між ОС (операційною системою) і мікропрограмою. У свою чергу, прошивка – це програмне забезпечення, яке забезпечує низькорівневий контроль апаратних компонентів системи. UEFI замінив застаріле мікропрограмне забезпечення для завантаження BIOS (базова система введення/виведення). Коротше кажучи, UEFI є однією з перших речей, які запускаються під час увімкнення комп’ютера та передують завантаженню ядра та ОС. За словами продавця, загрозливі функції BlackLotus Malware включають Secure Boot Bypass, захист RingO/Kernel від видалення та можливість запуску в безпечному режимі.
Ще більше загрозливих функцій
Однак BlackLotus, мабуть, також оснащений функціями захисту від віртуальної машини, захисту від налагодження та обфускації коду, щоб запобігти будь-яким потенційним спробам аналізу. Розробник загрози стверджує, що BlackLotus абсолютно неможливо виявити рішеннями захисту від зловмисного програмного забезпечення, оскільки він працює приховано в легітимному процесі під обліковим записом SYSTEM зламаного пристрою. Зловмисники також можуть використати загрозу, щоб вимкнути кілька засобів захисту, вбудованих у Windows, наприклад HVCI (цілісність коду, захищеного гіпервізором), UAC (контроль облікових записів користувачів) і навіть Microsoft Defender (раніше відомий як Windows Defender).
Боротьба з BlackLotus шляхом додавання його до функції відкликання UEFI також не дасть жодних значущих результатів, оскільки використовувану вразливість можна знайти в сотнях завантажувачів, які наразі все ще використовуються.
