黑蓮花惡意軟件
一種被網絡安全研究人員描述為“幾乎無法檢測到”的惡意軟件威脅已被確認在黑客論壇上出售。該惡意軟件被跟踪為 BlackLotus,它可以感染計算機的最基本級別,並且變得非常難以刪除。事實上,它的功能使其與作為國家支持的黑客組織和 APT(高級持續威脅)武器庫的一部分觀察到的威脅工具相提並論。顯然,感興趣的網絡犯罪分子可以以 5000 美元的價格從威脅的創建者那裡獲得許可證。
最低啟動狀態下的感染
BlackLotus 被描述為 UEFI(統一可擴展固件接口)引導套件。 UEFI 是一種廣泛使用的規範,描述了專用於促進 OS(操作系統)和固件之間通信的軟件。反過來,固件是提供對系統硬件組件的低級控制的軟件。 UEFI 替換了舊版 BIOS(基本輸入/輸出系統)啟動固件。簡而言之,UEFI 是計算機開機時首先啟動的東西之一,它先於內核和操作系統的啟動。據賣家稱,BlackLotus 惡意軟件的威脅性功能包括安全啟動繞過、RingO/內核防止被刪除以及以安全模式啟動的能力。
更具威脅性的功能
然而,BlackLotus 顯然還配備了反虛擬機、反調試和代碼混淆功能,以防止任何潛在的分析嘗試。威脅的開發者表示,BlackLotus 完全無法被反惡意軟件安全解決方案檢測到,因為它隱藏在被破壞設備的 SYSTEM 帳戶下的合法進程中運行。攻擊者還可以利用該威脅禁用 Windows 內置的多種安全保護措施,例如 HVCI(Hypervisor-Protected Code Integrity)、UAC(用戶帳戶控制),甚至 Microsoft Defender(以前稱為 Windows Defender)。
通過將 BlackLotus 添加到 UEFI 撤銷功能來處理它也將無法提供任何有意義的結果,因為可以在數百個當前仍在使用的引導加載程序中找到被利用的漏洞。
