Вредоносное ПО BlackLotus
Было подтверждено, что вредоносное ПО, которое исследователи кибербезопасности описывают как «почти необнаружимое», выставлено на продажу на хакерских форумах. Отслеживаемое как BlackLotus, вредоносное ПО может заразить самые основные уровни компьютера, и его будет чрезвычайно трудно удалить. Фактически, его возможности ставят его в один ряд с угрожающими инструментами, наблюдаемыми в арсенале спонсируемых государством хакерских групп и APT (Advanced Persistent Threats). Судя по всему, заинтересованные киберпреступники могли получить лицензию у создателей угрозы за 5000 долларов.
Заражение в самом низком состоянии загрузки
BlackLotus описывается как буткит UEFI (Unified Extensible Firmware Interface). UEFI — это широко используемая спецификация, описывающая программное обеспечение, предназначенное для облегчения связи между ОС (операционной системой) и прошивкой. В свою очередь, прошивка — это программное обеспечение, обеспечивающее низкоуровневое управление аппаратными компонентами системы. UEFI заменил устаревшую загрузочную прошивку BIOS (базовая система ввода/вывода). Короче говоря, UEFI — это одна из первых вещей, которая запускается при включении компьютера и предшествует загрузке ядра и ОС. По словам продавца, опасные функции BlackLotus Malware включают обход Secure Boot, защиту RingO/Kernel от удаления и возможность запуска в безопасном режиме.
Еще больше угрожающих функций
Тем не менее, BlackLotus, по-видимому, также оснащен функциями защиты от виртуальных машин, защиты от отладки и обфускации кода, чтобы предотвратить любые потенциальные попытки анализа. Разработчик угрозы заявляет, что BlackLotus полностью не обнаруживается решениями для защиты от вредоносных программ, поскольку он скрытно работает в легитимном процессе под учетной записью SYSTEM взломанного устройства. Злоумышленники также могут использовать эту угрозу для отключения нескольких средств защиты, встроенных в Windows, таких как HVCI (целостность кода, защищенная гипервизором), UAC (контроль учетных записей) и даже Защитник Microsoft (ранее известный как Защитник Windows).
Работа с BlackLotus путем добавления его к возможности отзыва UEFI также не даст каких-либо значимых результатов, поскольку эксплуатируемая уязвимость может быть обнаружена в сотнях загрузчиков, которые в настоящее время все еще используются.
