มัลแวร์ BlackLotus
ภัยคุกคามจากมัลแวร์ที่นักวิจัยด้านความปลอดภัยทางไซเบอร์กำลังอธิบายว่า 'แทบจะตรวจไม่พบ' ได้รับการยืนยันแล้วว่ามีการเสนอขายในฟอรัมของแฮ็กเกอร์ ตามรอย BlackLotus มัลแวร์สามารถแพร่ระบาดในระดับพื้นฐานที่สุดของคอมพิวเตอร์และลบออกได้ยากมาก อันที่จริง ความสามารถของมันเทียบได้กับเครื่องมือคุกคามที่เป็นส่วนหนึ่งของคลังแสงของกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐและ APT (Advanced Persistent Threats) เห็นได้ชัดว่าอาชญากรไซเบอร์ที่สนใจสามารถขอรับใบอนุญาตจากผู้สร้างภัยคุกคามได้ในราคา $5,000
การติดเชื้อที่สถานะการบูตต่ำสุด
BlackLotus ถูกอธิบายว่าเป็น bootkit ของ UEFI (Unified Extensible Firmware Interface) UEFI เป็นข้อกำหนดที่ใช้กันอย่างแพร่หลายซึ่งอธิบายซอฟต์แวร์เฉพาะเพื่ออำนวยความสะดวกในการสื่อสารระหว่างระบบปฏิบัติการ (ระบบปฏิบัติการ) และเฟิร์มแวร์ ในทางกลับกัน เฟิร์มแวร์คือซอฟต์แวร์ที่ให้การควบคุมส่วนประกอบฮาร์ดแวร์ของระบบในระดับต่ำ UEFI แทนที่เฟิร์มแวร์การบูต BIOS (Basic Input/Output System) รุ่นเก่า กล่าวโดยย่อ UEFI เป็นหนึ่งในสิ่งแรกที่เริ่มต้นเมื่อเปิดคอมพิวเตอร์และนำหน้าการบูทของเคอร์เนลและระบบปฏิบัติการ ตามที่ผู้ขายระบุ คุณลักษณะที่เป็นอันตรายของมัลแวร์ BlackLotus ได้แก่ บายพาส Secure Boot, การป้องกัน RingO/Kernel จากการถูกลบออก และความสามารถในการเริ่มทำงานในเซฟโหมด
คุณสมบัติที่คุกคามมากยิ่งขึ้น
อย่างไรก็ตาม เห็นได้ชัดว่า BlackLotus ยังมาพร้อมกับคุณสมบัติต่อต้าน VM ต่อต้านการดีบั๊ก และโค้ดที่สร้างความสับสน เพื่อป้องกันความพยายามในการวิเคราะห์ที่อาจเกิดขึ้น ผู้พัฒนาภัยคุกคามระบุว่า BlackLotus ไม่สามารถตรวจพบได้ทั้งหมดโดยโซลูชันการรักษาความปลอดภัยป้องกันมัลแวร์ เนื่องจากมีการทำงานที่ซ่อนอยู่ภายในกระบวนการที่ถูกต้องตามกฎหมายภายใต้บัญชี SYSTEM ของอุปกรณ์ที่ถูกละเมิด ผู้โจมตีสามารถใช้ภัยคุกคามเพื่อปิดใช้งานการรักษาความปลอดภัยหลายอย่างที่มาพร้อมกับ Windows เช่น HVCI (Hypervisor-Protected Code Integrity), UAC (การควบคุมบัญชีผู้ใช้) และแม้แต่ Microsoft Defender (ก่อนหน้านี้รู้จักกันในชื่อ Windows Defender)
การจัดการกับ BlackLotus โดยการเพิ่มลงในความสามารถในการเพิกถอน UEFI นั้นจะไม่สามารถให้ผลลัพธ์ที่มีความหมายได้ เนื่องจากช่องโหว่ที่ถูกเอารัดเอาเปรียบสามารถพบได้ใน bootloaders หลายร้อยรายการที่ยังคงใช้งานอยู่
