BlackLotus Malware

Prijetnja zlonamjernim softverom koju istraživači kibernetičke sigurnosti opisuju kao 'gotovo neotkrivenu' potvrđeno je da se nudi na prodaju na hakerskim forumima. Praćen kao BlackLotus, zlonamjerni softver može zaraziti najosnovnije razine računala i postati ga je izuzetno teško ukloniti. Zapravo, njegove mogućnosti ga stavljaju u rang s prijetećim alatima koji se promatraju kao dio arsenala hakerskih skupina koje sponzorira država i APT-ova (Advanced Persistent Threats). Navodno bi zainteresirani kibernetički kriminalci mogli dobiti licencu od kreatora prijetnje za 5000 dolara.

Infekcija u najnižem stanju pokretanja

BlackLotus je opisan kao UEFI (Unified Extensible Firmware Interface) bootkit. UEFI je naširoko korištena specifikacija koja opisuje softver posvećen olakšavanju komunikacije između OS-a (operativnog sustava) i firmvera. Zauzvrat, firmware je softver koji omogućuje nisku razinu kontrole hardverskih komponenti sustava. UEFI je zamijenio naslijeđeni firmver za pokretanje BIOS-a (Basic Input/Output System). Ukratko, UEFI je jedna od prvih stvari koje se pokreću kada se računalo uključi i prethodi dizanju kernela i OS-a. Prema prodavatelju, prijeteće značajke zlonamjernog softvera BlackLotus uključuju Secure Boot bypass, RingO/Kernel zaštitu od uklanjanja i mogućnost pokretanja u sigurnom načinu rada.

Još prijeteće značajke

Međutim, BlackLotus je, očito, također opremljen anti-VM, anti-debug i značajkama zamagljivanja koda kako bi spriječio bilo kakve potencijalne pokušaje analize. Razvojni programer prijetnje navodi da je BlackLotus potpuno neotkriven sigurnosnim rješenjima protiv zlonamjernog softvera jer se izvodi skriven unutar legitimnog procesa pod računom SUSTAVA probijenog uređaja. Napadači također mogu iskoristiti prijetnju za onemogućavanje nekoliko sigurnosnih zaštita koje su ugrađene u sustav Windows, kao što su HVCI (Cjelovitost šifre zaštićene hipervizorom), UAC (Kontrola korisničkog računa), pa čak i Microsoft Defender (ranije poznat kao Windows Defender).

Suočavanje s BlackLotusom njegovim dodavanjem u mogućnost opoziva UEFI-ja također neće dati značajne rezultate, budući da se iskorištena ranjivost može pronaći u stotinama bootloadera koji su trenutno još uvijek u upotrebi.