BlackLotus ļaunprātīga programmatūra

Ļaunprātīgas programmatūras draudi, ko kiberdrošības pētnieki raksturo kā “gandrīz nenosakāmus”, ir apstiprināti, ka tiek piedāvāti pārdošanai hakeru forumos. Ļaunprātīgā programmatūra, kas izsekota kā BlackLotus, var inficēt datora pamatlīmeņus un kļūt ārkārtīgi grūti noņemama. Faktiski tā iespējas ir līdzvērtīgas draudu rīkiem, kas tiek novēroti kā daļa no valsts sponsorētu hakeru grupu un APT (Advanced Persistent Threats) arsenāla. Acīmredzot ieinteresētie kibernoziedznieki varētu iegūt licenci no draudu radītājiem par 5000 USD.

Infekcija zemākajā sāknēšanas stāvoklī

BlackLotus ir aprakstīts kā UEFI (Unified Extensible Firmware Interface) sāknēšanas komplekts. UEFI ir plaši izmantota specifikācija, kas apraksta programmatūru, kas paredzēta saziņas atvieglošanai starp OS (operētājsistēmu) un programmaparatūru. Savukārt programmaparatūra ir programmatūra, kas nodrošina sistēmas aparatūras komponentu zema līmeņa kontroli. UEFI aizstāja mantoto BIOS (pamata ievades/izvades sistēmas) sāknēšanas programmaparatūru. Īsāk sakot, UEFI ir viena no pirmajām lietām, kas tiek startēta, kad dators ir ieslēgts, un pirms kodola un OS sāknēšanas. Pēc pārdevēja domām, BlackLotus Malware draudošās funkcijas ietver Secure Boot bypass, RingO/Kernel aizsardzību pret noņemšanu un iespēju startēt drošajā režīmā.

Vēl draudīgākas funkcijas

Tomēr šķiet, ka BlackLotus ir aprīkots arī ar anti-VM, pretatkļūdošanas un koda aptumšošanas līdzekļiem, lai novērstu iespējamos analīzes mēģinājumus. Apdraudējuma izstrādātājs norāda, ka BlackLotus ir pilnībā nenosakāms pret ļaunprātīgas programmatūras drošības risinājumiem, jo tas darbojas paslēpts likumīgā procesā, kas atrodas uzlauztās ierīces SISTĒMAS kontā. Uzbrucēji var arī izmantot draudus, lai atspējotu vairākus sistēmā Windows iebūvētos drošības aizsardzības līdzekļus, piemēram, HVCI (hipervizora aizsargāta koda integritāte), UAC (lietotāja konta kontrole) un pat Microsoft Defender (iepriekš zināms kā Windows Defender).

Darbs ar BlackLotus, pievienojot to UEFI atsaukšanas iespējai, arī nesniegs nekādus nozīmīgus rezultātus, jo izmantotā ievainojamība ir atrodama simtiem sāknēšanas ielādētāju, kas pašlaik joprojām tiek izmantoti.