BlackLotus-malware
Er is bevestigd dat een malwarebedreiging die cyberbeveiligingsonderzoekers als 'bijna niet detecteerbaar' beschrijven, te koop wordt aangeboden op hackerforums. Bijgehouden als BlackLotus, kan de malware de meest fundamentele niveaus van een computer infecteren en uiterst moeilijk te verwijderen worden. Zijn capaciteiten stellen het zelfs op één lijn met de bedreigende tools die worden waargenomen als onderdeel van het arsenaal van door de staat gesponsorde hackgroepen en APT's (Advanced Persistent Threats). Blijkbaar zouden geïnteresseerde cybercriminelen een licentie kunnen krijgen van de makers van de dreiging voor $ 5000.
Infectie bij laagste opstartstatus
BlackLotus wordt beschreven als een UEFI-bootkit (Unified Extensible Firmware Interface). UEFI is een veelgebruikte specificatie die software beschrijft die bedoeld is om de communicatie tussen het besturingssysteem (besturingssysteem) en de firmware te vergemakkelijken. Firmware is op zijn beurt de software die op laag niveau controle biedt over de hardwarecomponenten van het systeem. UEFI heeft de legacy BIOS (Basic Input/Output System) opstartfirmware vervangen. Kortom, UEFI is een van de eerste dingen die opstarten wanneer een computer wordt ingeschakeld en voorafgaat aan het opstarten van de kernel en het besturingssysteem. Volgens de verkoper zijn de bedreigende kenmerken van de BlackLotus-malware onder meer Secure Boot-bypass, RingO/Kernel-bescherming tegen verwijdering en de mogelijkheid om in de veilige modus te starten.
Nog meer bedreigende functies
BlackLotus is echter blijkbaar ook uitgerust met functies voor anti-VM, anti-debug en code-verduistering om mogelijke analysepogingen te voorkomen. De ontwikkelaar van de dreiging stelt dat BlackLotus volledig niet detecteerbaar is door anti-malware beveiligingsoplossingen omdat het verborgen wordt uitgevoerd in een legitiem proces onder de SYSTEM-account van het gehackte apparaat. Aanvallers kunnen de dreiging ook gebruiken om verschillende beveiligingsmaatregelen die in Windows zijn ingebouwd, uit te schakelen, zoals HVCI (Hypervisor-Protected Code Integrity), UAC (User Account Control) en zelfs Microsoft Defender (voorheen bekend als Windows Defender).
Omgaan met BlackLotus door het toe te voegen aan de UEFI-intrekkingsmogelijkheid zal ook geen zinvolle resultaten opleveren, aangezien de misbruikte kwetsbaarheid kan worden gevonden in honderden bootloaders die momenteel nog in gebruik zijn.
