恶意软件论坛上出售“几乎无法检测到”的黑客工具

据称，黑市上有一种新型且罕见的恶意软件，其中包含通常为各州使用的黑客工具保留的功能，使任何防病毒软件几乎无法检测到。

该恶意软件被称为 BlackLotus，据称是统一可扩展固件接口 (UEFI) 引导套件。UEFI 是充当操作系统和固件之间接口的计算标准；当您打开计算机时，UEFI 会启动引导加载程序，进而引导内核和操作系统。 

通过在初始启动状态加载，恶意软件将自身嵌入系统固件中，使其绕过防病毒软件的所有安全检查，从而保持未被检测到。 

重量级功能

在一个在线恶意软件论坛上，BlackLotus 许可证的售价显然为每个 5,000 美元，卖家声称即使安全启动也不会阻止该工具，因为使用了易受攻击的引导加载程序。他们进一步指出，将此引导加载程序添加到UEFI 撤销列表（在新标签中打开）将无法解决该问题，因为目前有数百个具有相同漏洞的其他人可以替代使用。

使 BlackLotus 具有如此潜在危险的另一个属性是其明显的 Ring 0/内核保护。计算机使用保护环进行操作，这些保护环根据它们对机器运行的重要性将系统划分为不同的级别，以防止潜在的威胁和故障泄漏到其他部分。 

通过这些环获得访问变得越来越困难。核心是环 0，它包含内核：这是将软件连接到硬件的地方。这个戒指代表了最高级别的访问权限，所以如果黑莲花确实有戒指0的保护，那就很难摆脱了。

卖家还声称 BlackLotus 能够禁用 Windows Defender，并带有反调试功能以防止恶意软件扫描检测到。

不再掌握在国家手中

专家警告说，BlackLotus 规模的恶意软件不再是政府和州的唯一领域。卡巴斯基首席安全研究员 Sergey Lozhkin表示（在新标签中打开）, “以前这些威胁和技术只有开发高级持续威胁的人才能使用，主要是政府。现在这些工具掌握在整个论坛的犯罪分子手中。”

去年，另一个被称为 ESPecter的 UEFI 引导套件被发现，并且显然至少在 10 年前被设计用于 BIOS 系统，这是 UEFI 的前身。他们在国营团体之外的可用性仍然非常罕见，至少目前如此。 

另一位安全专家 – Eclypsium 首席技术官 Scott Scheferman – 确实试图通过表示他们还不能确定 BlackLotus 声称的说法来缓和担忧，并坚持认为，虽然它可能代表着在易于访问这些强大工具方面的飞跃，但它可能仍处于生产的初期阶段，并没有像声称的那样有效。 

无论如何，网络犯罪世界的进步步伐非常快，如果能够从生产和使用如此强大的恶意软件中获利，那么对其开发和改进的需求将不减。一旦猫从袋子里出来，就很难再把它放回去。

来源：新视界IT