BlackLotus 악성 코드

사이버 보안 연구원들이 '거의 탐지할 수 없는' 것으로 설명하는 악성코드 위협이 해커 포럼에서 판매되는 것으로 확인되었습니다. BlackLotus로 추적되는 이 맬웨어는 컴퓨터의 가장 기본적인 수준을 감염시키고 제거하기가 매우 어려워질 수 있습니다. 사실, 그 능력은 국가가 후원하는 해킹 그룹 및 APT(Advanced Persistent Threats)의 일부로 관찰되는 위협 도구와 동등합니다. 분명히 관심 있는 사이버 범죄자는 위협 제작자로부터 5000달러에 라이선스를 얻을 수 있습니다.

최저 부팅 상태에서의 감염

BlackLotus는 UEFI(Unified Extensible Firmware Interface) 부트킷으로 설명됩니다. UEFI는 OS(운영 체제)와 펌웨어 간의 통신을 용이하게 하는 전용 소프트웨어를 설명하는 널리 사용되는 사양입니다. 차례로, 펌웨어는 시스템의 하드웨어 구성 요소에 대한 낮은 수준의 제어를 제공하는 소프트웨어입니다. UEFI는 레거시 BIOS(기본 입/출력 시스템) 부팅 펌웨어를 대체했습니다. 간단히 말해서 UEFI는 컴퓨터가 켜졌을 때 가장 먼저 시작되는 것 중 하나이며 커널과 OS의 부팅보다 앞서 있습니다. 판매자에 따르면 BlackLotus Malware의 위협적인 기능에는 Secure Boot 우회, RingO/Kernel 제거 방지 및 안전 모드에서 시작하는 기능이 포함됩니다.

더욱 위협적인 기능

그러나 BlackLotus는 잠재적인 분석 시도를 방지하기 위해 안티 VM, 안티 디버그 및 코드 난독화 기능도 갖추고 있습니다. 위협의 개발자는 BlackLotus가 침해된 장치의 SYSTEM 계정에서 합법적인 프로세스 내에서 숨겨져 실행되기 때문에 맬웨어 방지 보안 솔루션으로 완전히 탐지할 수 없다고 말합니다. 공격자는 또한 위협을 활용하여 HVCI(Hypervisor-Protected Code Integrity), UAC(사용자 계정 컨트롤) 및 Microsoft Defender(이전에는 Windows Defender로 알려짐)와 같이 Windows에 기본 제공되는 여러 보안 보호 기능을 비활성화할 수 있습니다.

BlackLotus를 UEFI 해지 기능에 추가하여 처리하는 것도 의미 있는 결과를 제공하지 못할 것입니다. 악용된 취약점은 현재 사용 중인 수백 개의 부트로더에서 찾을 수 있기 때문입니다.