BlackLotus Malware
Isang banta ng malware na inilalarawan ng mga mananaliksik sa cybersecurity bilang 'halos hindi matukoy' ay nakumpirma na iniaalok para ibenta sa mga forum ng hacker. Sinusubaybayan bilang BlackLotus, ang malware ay maaaring makahawa sa mga pinakapangunahing antas ng isang computer at maging lubhang mahirap alisin. Sa katunayan, ang mga kakayahan nito ay inilagay ito sa par sa mga nagbabantang tool na naobserbahan bilang bahagi ng arsenal ng mga grupo ng pag-hack na itinataguyod ng estado at mga APT (Advanced Persistent Threats). Tila, ang mga interesadong cybercriminal ay maaaring makakuha ng lisensya mula sa mga lumikha ng banta para sa $5000.
Impeksyon sa Lowest Boot State
Ang BlackLotus ay inilarawan bilang isang UEFI (Unified Extensible Firmware Interface) bootkit. Ang UEFI ay isang malawakang ginagamit na detalye na naglalarawan ng software na nakatuon sa pagpapadali ng komunikasyon sa pagitan ng OS (operating system) at ng firmware. Sa turn, ang firmware ay ang software na nagbibigay ng mababang antas ng kontrol sa mga bahagi ng hardware ng system. Pinalitan ng UEFI ang legacy na BIOS (Basic Input/Output System) boot firmware. Sa madaling salita, ang UEFI ay isa sa mga unang bagay na nagsisimula kapag ang isang computer ay naka-on at nauuna ang pag-boot ng kernel at OS. Ayon sa nagbebenta, ang mga nagbabantang feature ng BlackLotus Malware ay kinabibilangan ng Secure Boot bypass, proteksyon ng RingO/Kernel laban sa pag-alis at ang kakayahang magsimula sa Safe Mode.
Higit pang Mga Nagbabantang Feature
Gayunpaman, ang BlackLotus, tila, ay nilagyan din ng mga tampok na anti-VM, anti-debug, at code obfuscation upang maiwasan ang anumang potensyal na pagtatangka sa pagsusuri. Ang nag-develop ng pagbabanta ay nagsasaad na ang BlackLotus ay ganap na hindi natutuklasan ng mga solusyon sa seguridad na anti-malware dahil ito ay tumatakbong nakatago sa loob ng isang lehitimong proseso sa ilalim ng SYSTEM account ng nalabag na device. Magagamit din ng mga attacker ang banta na huwag paganahin ang ilang mga proteksyon sa seguridad na kasama ng Windows, gaya ng HVCI (Hypervisor-Protected Code Integrity), UAC (User Account Control), at maging ang Microsoft Defender (dating kilala bilang Windows Defender).
Ang pakikitungo sa BlackLotus sa pamamagitan ng pagdaragdag nito sa kakayahan sa pagbawi ng UEFI ay mabibigo din na makapagbigay ng anumang makabuluhang resulta, dahil ang pinagsasamantalahang kahinaan ay makikita sa daan-daang mga bootloader na kasalukuyang ginagamit pa rin.
