BlackLotus Malware
Megerősítették, hogy a hackerfórumokon eladásra kínálnak egy rosszindulatú fenyegetést, amelyet a kiberbiztonsági kutatók "szinte észlelhetetlennek" minősítenek. A BlackLotus néven nyomon követett kártevő megfertőzheti a számítógép legalapvetőbb szintjeit, és rendkívül nehézkessé válik eltávolíthatóvá. Valójában képességei egyenrangúvá teszik az államilag szponzorált hackercsoportok és APT-k (Advanced Persistent Threats) arzenáljának részeként megfigyelt fenyegető eszközökkel. Úgy tűnik, az érdeklődő kiberbűnözők 5000 dollárért engedélyt kaphatnak a fenyegetés alkotóitól.
Fertőzés a legalacsonyabb rendszerindítási állapotban
A BlackLotus leírása szerint egy UEFI (Unified Extensible Firmware Interface) indítókészlet. Az UEFI egy széles körben használt specifikáció, amely az operációs rendszer (operációs rendszer) és a firmware közötti kommunikációt elősegítő szoftvert írja le. A firmware viszont az a szoftver, amely a rendszer hardverelemeinek alacsony szintű vezérlését biztosítja. Az UEFI lecserélte a régi BIOS (Basic Input/Output System) rendszerindítási firmware-t. Röviden, az UEFI az egyik első olyan dolog, amely a számítógép bekapcsolásakor elindul, és megelőzi a kernel és az operációs rendszer indítását. Az eladó szerint a BlackLotus Malware fenyegető funkciói közé tartozik a Secure Boot bypass, a RingO/Kernel eltávolítása elleni védelem és a Csökkentett módban való indítás lehetősége.
Még fenyegetőbb funkciók
A BlackLotus azonban láthatóan fel van szerelve anti-VM, anti-debug és kódzavarás funkciókkal, hogy megakadályozza az esetleges elemzési kísérleteket. A fenyegetés fejlesztője azt állítja, hogy a BlackLotus teljes mértékben nem észlelhető a rosszindulatú szoftverek elleni biztonsági megoldások számára, mivel rejtve fut egy legitim folyamaton belül a feltört eszköz SYSTEM fiókja alatt. A támadók a fenyegetést arra is felhasználhatják, hogy letiltsanak számos, a Windowsba beépített biztonsági védelmet, például a HVCI-t (Hypervisor-Protected Code Integrity), az UAC-t (felhasználói fiókok felügyelete) és még a Microsoft Defendert (korábban Windows Defender néven is ismerték).
A BlackLotus kezelése az UEFI visszavonási képességhez való hozzáadásával sem hoz semmilyen érdemi eredményt, mivel a kihasznált sebezhetőség több száz, jelenleg is használatban lévő rendszerbetöltőben található.
