据称,黑市上有一种新型且罕见的恶意软件,其中包含通常为各州使用的黑客工具保留的功能,使任何防病毒软件几乎无法检测到。
该恶意软件被称为 BlackLotus,据称是统一可扩展固件接口 (UEFI) 引导套件。UEFI 是充当操作系统和固件之间接口的计算标准;当您打开计算机时,UEFI 会启动引导加载程序,进而引导内核和操作系统。
通过在初始启动状态加载,恶意软件将自身嵌入系统固件中,使其绕过防病毒软件的所有安全检查,从而保持未被检测到。
重量级功能
在一个在线恶意软件论坛上,BlackLotus 许可证的售价显然为每个 5,000 美元,卖家声称即使安全启动也不会阻止该工具,因为使用了易受攻击的引导加载程序。他们进一步指出,将此引导加载程序添加到UEFI 撤销列表(在新标签中打开)将无法解决该问题,因为目前有数百个具有相同漏洞的其他人可以替代使用。
使 BlackLotus 具有如此潜在危险的另一个属性是其明显的 Ring 0/内核保护。计算机使用保护环进行操作,这些保护环根据它们对机器运行的重要性将系统划分为不同的级别,以防止潜在的威胁和故障泄漏到其他部分。
通过这些环获得访问变得越来越困难。核心是环 0,它包含内核:这是将软件连接到硬件的地方。这个戒指代表了最高级别的访问权限,所以如果黑莲花确实有戒指0的保护,那就很难摆脱了。
卖家还声称 BlackLotus 能够禁用 Windows Defender,并带有反调试功能以防止恶意软件扫描检测到。
不再掌握在国家手中
专家警告说,BlackLotus 规模的恶意软件不再是政府和州的唯一领域。卡巴斯基首席安全研究员 Sergey Lozhkin表示(在新标签中打开), “以前这些威胁和技术只有开发高级持续威胁的人才能使用,主要是政府。现在这些工具掌握在整个论坛的犯罪分子手中。”
去年,另一个被称为 ESPecter的 UEFI 引导套件被发现,并且显然至少在 10 年前被设计用于 BIOS 系统,这是 UEFI 的前身。他们在国营团体之外的可用性仍然非常罕见,至少目前如此。
另一位安全专家 - Eclypsium 首席技术官 Scott Scheferman - 确实试图通过表示他们还不能确定 BlackLotus 声称的说法来缓和担忧,并坚持认为,虽然它可能代表着在易于访问这些强大工具方面的飞跃,但它可能仍处于生产的初期阶段,并没有像声称的那样有效。
无论如何,网络犯罪世界的进步步伐非常快,如果能够从生产和使用如此强大的恶意软件中获利,那么对其开发和改进的需求将不减。一旦猫从袋子里出来,就很难再把它放回去。
领取专属 10元无门槛券
私享最新 技术干货