Złośliwe oprogramowanie BlackLotus
Potwierdzono, że szkodliwe oprogramowanie, które badacze cyberbezpieczeństwa określają jako „prawie niewykrywalne”, jest oferowane do sprzedaży na forach hakerskich. Śledzone jako BlackLotus, złośliwe oprogramowanie może infekować najbardziej podstawowe poziomy komputera i być niezwykle trudne do usunięcia. W rzeczywistości jego możliwości stawiają go na równi z groźnymi narzędziami obserwowanymi jako część arsenału sponsorowanych przez państwo grup hakerskich i APT (Advanced Persistent Threats). Najwyraźniej zainteresowani cyberprzestępcy mogli uzyskać licencję od twórców zagrożenia za 5000 dolarów.
Infekcja w najniższym stanie rozruchu
BlackLotus jest opisany jako bootkit UEFI (Unified Extensible Firmware Interface). UEFI to szeroko stosowana specyfikacja opisująca oprogramowanie przeznaczone do ułatwienia komunikacji między systemem operacyjnym (systemem operacyjnym) a oprogramowaniem układowym. Z kolei firmware to oprogramowanie, które zapewnia niskopoziomową kontrolę nad elementami sprzętowymi systemu. UEFI zastąpił starsze oprogramowanie układowe BIOS (Basic Input/Output System). Krótko mówiąc, UEFI jest jedną z pierwszych rzeczy, które uruchamiają się po włączeniu komputera i poprzedzają uruchomienie jądra i systemu operacyjnego. Według sprzedawcy, groźne funkcje szkodliwego oprogramowania BlackLotus obejmują obejście bezpiecznego rozruchu, ochronę RingO/kernel przed usunięciem oraz możliwość uruchomienia w trybie awaryjnym.
Jeszcze więcej groźnych funkcji
Jednak BlackLotus najwyraźniej jest również wyposażony w funkcje ochrony przed maszynami wirtualnymi, debugowania i zaciemniania kodu, aby zapobiec potencjalnym próbom analizy. Twórca zagrożenia twierdzi, że BlackLotus jest całkowicie niewykrywalny przez rozwiązania zabezpieczające przed złośliwym oprogramowaniem, ponieważ działa ukryty w legalnym procesie na koncie SYSTEMU urządzenia, na którym nastąpiło naruszenie. Atakujący mogą również wykorzystać to zagrożenie do wyłączenia kilku zabezpieczeń wbudowanych w system Windows, takich jak HVCI (Hypervisor-Protected Code Integrity), UAC (User Account Control), a nawet Microsoft Defender (wcześniej znany jako Windows Defender).
Radzenie sobie z BlackLotus poprzez dodanie go do możliwości odwołania UEFI również nie przyniesie żadnych znaczących rezultatów, ponieważ wykorzystywana luka może zostać znaleziona w setkach programów ładujących, które są obecnie nadal w użyciu.
