BlackLotus Malware

Ancaman perisian hasad yang disifatkan oleh penyelidik keselamatan siber sebagai 'hampir tidak dapat dikesan' telah disahkan ditawarkan untuk dijual di forum penggodam. Dijejaki sebagai BlackLotus, perisian hasad boleh menjangkiti tahap paling asas komputer dan menjadi sangat sukar untuk dialih keluar. Malah, keupayaannya meletakkannya setanding dengan alat mengancam yang diperhatikan sebagai sebahagian daripada kumpulan penggodam tajaan kerajaan dan APT (Ancaman Berterusan Lanjutan). Nampaknya, penjenayah siber yang berminat boleh mendapatkan lesen daripada pencipta ancaman itu untuk $5000.

Jangkitan pada Keadaan But Terendah

BlackLotus digambarkan sebagai kit but UEFI (Unified Extensible Firmware Interface). UEFI ialah spesifikasi yang digunakan secara meluas yang menerangkan perisian khusus untuk memudahkan komunikasi antara OS (sistem pengendalian) dan perisian tegar. Sebaliknya, perisian tegar ialah perisian yang menyediakan kawalan tahap rendah bagi komponen perkakasan sistem. UEFI menggantikan perisian tegar but BIOS (Sistem Input/Output Asas) warisan. Ringkasnya, UEFI ialah salah satu perkara pertama yang dimulakan apabila komputer dihidupkan dan mendahului but kernel dan OS. Menurut penjual, ciri mengancam BlackLotus Malware termasuk pintasan Boot Selamat, perlindungan RingO/Kernel daripada dialih keluar dan keupayaan untuk bermula dalam Mod Selamat.

Ciri Yang Lebih Mengancam

Walau bagaimanapun, BlackLotus, nampaknya, juga dilengkapi dengan ciri anti-VM, anti-nyahpepijat dan pengeliruan kod untuk menghalang sebarang percubaan analisis yang berpotensi. Pembangun ancaman menyatakan bahawa BlackLotus tidak dapat dikesan sepenuhnya oleh penyelesaian keselamatan anti-perisian hasad kerana ia berjalan tersembunyi dalam proses yang sah di bawah akaun SYSTEM peranti yang dilanggar. Penyerang juga boleh menggunakan ancaman untuk melumpuhkan beberapa perlindungan keselamatan yang terbina dalam Windows, seperti HVCI (Hypervisor-Protected Code Integrity), UAC (User Account Control), dan juga Microsoft Defender (sebelum ini dikenali sebagai Windows Defender).

Berurusan dengan BlackLotus dengan menambahkannya pada keupayaan pembatalan UEFI juga akan gagal memberikan sebarang hasil yang bermakna, kerana kelemahan yang dieksploitasi boleh didapati dalam beratus-ratus pemuat but yang masih digunakan pada masa ini.