„BlackLotus“ kenkėjiška programa

Įsilaužėlių forumuose buvo patvirtinta, kad kenkėjiškų programų grėsmė, kurią kibernetinio saugumo tyrinėtojai apibūdina kaip „beveik neaptinkamą“. Kenkėjiška programa, pažymėta kaip „BlackLotus“, gali užkrėsti pačius pagrindinius kompiuterio lygius ir ją pašalinti labai sunku. Tiesą sakant, jos galimybės prilygsta grėsmingoms priemonėms, kurios yra valstybės remiamų įsilaužimo grupių ir APT (Advanced Persistent Threats) arsenalo dalis. Matyt, suinteresuoti kibernetiniai nusikaltėliai galėtų gauti licenciją iš grėsmės kūrėjų už 5000 USD.

Infekcija žemiausioje įkrovos būsenoje

BlackLotus apibūdinamas kaip UEFI (Unified Extensible Firmware Interface) įkrovos rinkinys. UEFI yra plačiai naudojama specifikacija, apibūdinanti programinę įrangą, skirtą palengvinti ryšį tarp OS (operacinės sistemos) ir programinės įrangos. Savo ruožtu programinė įranga yra programinė įranga, kuri suteikia žemo lygio sistemos aparatinės įrangos komponentų valdymą. UEFI pakeitė seną BIOS (pagrindinės įvesties / išvesties sistemos) įkrovos programinę-aparatinę įrangą. Trumpai tariant, UEFI yra vienas iš pirmųjų dalykų, kurie paleidžiami įjungus kompiuterį ir prieš paleidžiant branduolį bei OS. Pardavėjo teigimu, grėsmingos „BlackLotus“ kenkėjiškos programos funkcijos apima saugų įkrovos apėjimą, „RingO/Bernel“ apsaugą nuo pašalinimo ir galimybę paleisti saugiuoju režimu.

Dar daugiau grėsmingų savybių

Tačiau, matyt, „BlackLotus“ taip pat turi anti-VM, apsaugos nuo derinimo ir kodo užmaskavimo funkcijas, kad būtų išvengta galimų analizės bandymų. Grėsmės kūrėjas teigia, kad „BlackLotus“ yra visiškai neaptinkamas apsaugos nuo kenkėjiškų programų saugumo sprendimų, nes jis veikia paslėptas teisėtame procese pagal pažeisto įrenginio SISTEMOS paskyrą. Užpuolikai taip pat gali pasinaudoti grėsme, kad išjungtų kelias saugumo priemones, kurios yra integruotos sistemoje „Windows“, pvz., HVCI (nuo hipervizoriaus apsaugoto kodo vientisumo), UAC (vartotojo abonemento valdymas) ir net „Microsoft Defender“ (anksčiau žinomas kaip „Windows Defender“).

Darbas su BlackLotus įtraukus jį į UEFI atšaukimo galimybę taip pat neduos jokių reikšmingų rezultatų, nes išnaudotą pažeidžiamumą galima rasti šimtuose šiuo metu vis dar naudojamų įkrovos tvarkyklių.