黑莲花恶意软件
一种被网络安全研究人员描述为“几乎无法检测到”的恶意软件威胁已被确认在黑客论坛上出售。该恶意软件被跟踪为 BlackLotus,它可以感染计算机的最基本级别,并且变得非常难以删除。事实上,它的功能使其与作为国家支持的黑客组织和 APT(高级持续威胁)武器库的一部分观察到的威胁工具相提并论。显然,感兴趣的网络犯罪分子可以以 5000 美元的价格从威胁的创建者那里获得许可证。
最低启动状态下的感染
BlackLotus 被描述为 UEFI(统一可扩展固件接口)引导套件。 UEFI 是一种广泛使用的规范,描述了专用于促进 OS(操作系统)和固件之间通信的软件。反过来,固件是提供对系统硬件组件的低级控制的软件。 UEFI 替换了旧版 BIOS(基本输入/输出系统)启动固件。简而言之,UEFI 是计算机开机时首先启动的东西之一,它先于内核和操作系统的启动。据卖家称,BlackLotus 恶意软件的威胁性功能包括安全启动绕过、RingO/内核防止被删除以及以安全模式启动的能力。
更具威胁性的功能
然而,BlackLotus 显然还配备了反虚拟机、反调试和代码混淆功能,以防止任何潜在的分析尝试。威胁的开发者表示,BlackLotus 完全无法被反恶意软件安全解决方案检测到,因为它隐藏在被破坏设备的 SYSTEM 帐户下的合法进程中运行。攻击者还可以利用该威胁禁用 Windows 内置的多种安全保护措施,例如 HVCI(Hypervisor-Protected Code Integrity)、UAC(用户帐户控制),甚至 Microsoft Defender(以前称为 Windows Defender)。
通过将 BlackLotus 添加到 UEFI 撤销功能来处理它也将无法提供任何有意义的结果,因为可以在数百个当前仍在使用的引导加载程序中找到被利用的漏洞。
