BlackLotus البرامج الضارة

تم تأكيد عرض تهديد البرامج الضارة الذي يصفه باحثو الأمن السيبراني بأنه "غير قابل للكشف تقريبًا" للبيع في منتديات المتسللين. يمكن للبرنامج الضار ، الذي تم تتبعه باسم BlackLotus ، إصابة المستويات الأساسية لجهاز الكمبيوتر ويصبح من الصعب للغاية إزالته. في الواقع ، تجعله قدراته على قدم المساواة مع أدوات التهديد التي لوحظت كجزء من ترسانة مجموعات القرصنة التي ترعاها الدولة و APTs (التهديدات المستمرة المتقدمة). على ما يبدو ، يمكن لمجرمي الإنترنت المهتمين الحصول على ترخيص من مبتكري التهديد مقابل 5000 دولار.

الإصابة في أدنى حالة التمهيد

يوصف BlackLotus بأنه مجموعة التمهيد UEFI (واجهة البرامج الثابتة القابلة للتوسيع الموحدة). UEFI هي مواصفات مستخدمة على نطاق واسع تصف البرامج المخصصة لتسهيل الاتصال بين نظام التشغيل (نظام التشغيل) والبرامج الثابتة. في المقابل ، البرنامج الثابت هو البرنامج الذي يوفر تحكمًا منخفض المستوى في مكونات أجهزة النظام. استبدل UEFI البرنامج الثابت للتمهيد BIOS (نظام الإدخال / الإخراج الأساسي). باختصار ، يعد UEFI أحد الأشياء الأولى التي تبدأ عند تشغيل الكمبيوتر وتسبق تمهيد kernel و OS. وفقًا للبائع ، تتضمن الميزات المهددة لبرنامج BlackLotus Malware تجاوز التمهيد الآمن وحماية RingO / Kernel ضد الإزالة والقدرة على البدء في الوضع الآمن.

المزيد من الميزات التي تشكل تهديدًا

ومع ذلك ، فإن BlackLotus ، على ما يبدو ، مجهز أيضًا بميزات مكافحة VM ، ومكافحة التصحيح ، والتشويش البرمجي لمنع أي محاولات تحليل محتملة. ينص مطور التهديد على أن BlackLotus لا يمكن اكتشافه تمامًا بواسطة حلول أمان مكافحة البرامج الضارة لأنه يعمل مخفيًا ضمن عملية مشروعة ضمن حساب SYSTEM للجهاز الذي تم اختراقه. يمكن للمهاجمين أيضًا استخدام التهديد لتعطيل العديد من وسائل الحماية الأمنية المضمنة في Windows ، مثل HVCI (Hypervisor-Protected Code Integrity) و UAC (التحكم في حساب المستخدم) وحتى Microsoft Defender (المعروف سابقًا باسم Windows Defender).

التعامل مع BlackLotus من خلال إضافته إلى قدرة إبطال UEFI سيفشل أيضًا في تقديم أي نتائج ذات مغزى ، حيث يمكن العثور على الثغرة الأمنية المستغلة في المئات من محمل الإقلاع التي لا تزال قيد الاستخدام حاليًا.