BlackLotus Kötü Amaçlı Yazılım

Siber güvenlik araştırmacılarının 'neredeyse tespit edilemez' olarak nitelendirdiği bir kötü amaçlı yazılım tehdidinin hacker forumlarında satışa sunulacağı doğrulandı. BlackLotus olarak izlenen kötü amaçlı yazılım, bir bilgisayarın en temel düzeylerine bulaşabilir ve kaldırılması son derece zor hale gelebilir. Aslında, yetenekleri, devlet destekli bilgisayar korsanlığı gruplarının ve APT'lerin (Gelişmiş Kalıcı Tehditler) cephaneliğinin bir parçası olarak gözlemlenen tehdit araçlarıyla aynı seviyeye getiriyor. Görünüşe göre, ilgilenen siber suçlular, tehdidin yaratıcılarından 5000 $ karşılığında bir lisans alabilirler.

En Düşük Önyükleme Durumunda Enfeksiyon

BlackLotus, bir UEFI (Birleşik Genişletilebilir Ürün Yazılımı Arabirimi) önyükleme seti olarak tanımlanır. UEFI, işletim sistemi (işletim sistemi) ile bellenim arasındaki iletişimi kolaylaştırmaya adanmış yazılımı tanımlayan, yaygın olarak kullanılan bir belirtimdir. Buna karşılık, bellenim, sistemin donanım bileşenlerinin düşük düzeyde kontrolünü sağlayan yazılımdır. UEFI, eski BIOS (Temel Giriş/Çıkış Sistemi) önyükleme bellenimini değiştirdi. Kısacası, UEFI, bir bilgisayar açıldığında ve çekirdeğin ve işletim sisteminin önyüklemesinden önce başlayan ilk şeylerden biridir. Satıcıya göre, BlackLotus Kötü Amaçlı Yazılımın tehdit edici özellikleri arasında Güvenli Önyükleme baypası, kaldırılmaya karşı RingO/Kernel koruması ve Güvenli Modda başlatma özelliği yer alıyor.

Daha da Tehdit Eden Özellikler

Bununla birlikte, görünüşe göre BlackLotus, herhangi bir olası analiz girişimini önlemek için anti-VM, anti-hata ayıklama ve kod gizleme özellikleriyle de donatılmıştır. Tehdidin geliştiricisi, BlackLotus'un, ihlal edilen cihazın SYSTEM hesabı altında yasal bir süreç içinde gizli olarak çalıştığı için kötü amaçlı yazılımdan koruma güvenlik çözümleri tarafından tamamen tespit edilemediğini belirtiyor. Saldırganlar, HVCI (Hypervisor-Protected Code Integrity), UAC (Kullanıcı Hesabı Denetimi) ve hatta Microsoft Defender (önceden Windows Defender olarak biliniyordu) gibi Windows'ta yerleşik olarak gelen çeşitli güvenlik korumalarını devre dışı bırakmak için de bu tehdidi kullanabilirler.

BlackLotus'u UEFI iptal etme yeteneğine ekleyerek uğraşmak da anlamlı sonuçlar sağlamayacaktır, çünkü istismar edilen güvenlik açığı halen kullanımda olan yüzlerce önyükleyicide bulunabilir.