Malware BlackLotus
O amenințare malware pe care cercetătorii în securitate cibernetică o descriu drept „aproape nedetectabilă” a fost confirmată a fi oferită spre vânzare pe forumurile hackerilor. Urmărit ca BlackLotus, malware-ul poate infecta cele mai fundamentale niveluri ale unui computer și poate deveni extrem de dificil de eliminat. De fapt, capacitățile sale îl pun la egalitate cu instrumentele amenințătoare observate ca parte din arsenalul de grupuri de hacking și APT-uri (Advanced Persistent Threats) sponsorizate de stat. Aparent, infractorii cibernetici interesați ar putea obține o licență de la creatorii amenințării pentru 5000 de dolari.
Infecție la cea mai joasă stare de pornire
BlackLotus este descris ca un kit de pornire UEFI (Unified Extensible Firmware Interface). UEFI este o specificație utilizată pe scară largă care descrie software-ul dedicat facilitării comunicării între sistemul de operare (sistemul de operare) și firmware. La rândul său, firmware-ul este software-ul care oferă control la nivel scăzut al componentelor hardware ale sistemului. UEFI a înlocuit firmware-ul de boot BIOS (Basic Input/Output System) vechi. Pe scurt, UEFI este unul dintre primele lucruri care pornesc atunci când un computer este pornit și precede pornirea nucleului și a sistemului de operare. Potrivit vânzătorului, caracteristicile amenințătoare ale malware-ului BlackLotus includ ocolirea pornirii securizate, protecția RingO/Kernel împotriva eliminării și capacitatea de a porni în modul sigur.
Caracteristici și mai amenințătoare
Cu toate acestea, se pare că BlackLotus este echipat și cu funcții anti-VM, anti-debug și de ofucare a codului pentru a preveni orice potențiale tentative de analiză. Dezvoltatorul amenințării afirmă că BlackLotus este complet nedetectabil de soluțiile de securitate anti-malware, deoarece rulează ascuns într-un proces legitim sub contul SISTEM al dispozitivului încălcat. Atacatorii ar putea folosi, de asemenea, amenințarea pentru a dezactiva mai multe protecții de securitate care sunt încorporate în Windows, cum ar fi HVCI (Hypervisor-Protected Code Integrity), UAC (User Account Control) și chiar Microsoft Defender (cunoscut anterior ca Windows Defender).
De asemenea, gestionarea BlackLotus prin adăugarea acestuia la capacitatea de revocare UEFI nu va oferi niciun rezultat semnificativ, deoarece vulnerabilitatea exploatată poate fi găsită în sute de încărcătoare de pornire care sunt încă utilizate în prezent.
