一名攻击者在黑客论坛上出售他们声称是名为 BlackLotus 的新 UEFI 引导包,这是一种恶意工具,其功能通常与高级持续威胁(APT)组织相关联。
UEFI bootkits 植入系统固件中,对操作系统内运行的安全软件不可见,因为恶意软件在引导序列的初始阶段加载。
虽然想要获得此 Windows bootkit 许可证的网络犯罪分子必须支付 5,000 美元。
卖家说 BlackLotus 具有集成的安全启动绕过功能,具有内置的 Ring0/Kernel 保护以防止被删除,并将在恢复或安全模式下启动。
BlackLotus 声称带有反虚拟机 (anti-VM)、反调试和代码混淆功能来阻止恶意软件分析尝试。卖家还声称,安全软件无法检测和杀死 bootkit,因为它在合法进程中的 SYSTEM 帐户下运行。
更重要的是,这个安装后磁盘上只有 80 kb 大小的微型 bootkit 可以禁用内置的 Windows 安全保护,例如 Hypervisor-Protected Code Integrity (HVCI) 和 Windows Defender,并绕过用户帐户控制 (UAC)。
BlackLotus软件本身和安全引导绕过工作独立于供应商。如果使用安全引导,则使用易受攻击的签名引导加载程序来加载引导套件。
“通过将其添加到 UEFI 撤销列表来修补此漏洞目前是不可能的,因为该漏洞影响到今天仍在使用的数百个引导加载程序。”
黑客论坛( KELA 的 Dark Beast 平台)上BlackLotus bootkit 的宣传帖子
卡巴斯基安全研究员表示:“以前这些威胁和技术只有开发高级持续威胁的人才能访问,现在这些工具掌握在普通犯罪分子手中 。”
其他安全分析师将 BlackLotus 对任何财力雄厚的网络犯罪分子的广泛可用性标记为向现成恶意软件中 APT 级功能更广泛可用性的飞跃。
这是一个令人担忧的趋势,BlackLotus 可用于加载自带驱动程序 (BYOVD)的未签名驱动程序。
最近几周,此类攻击与广泛的攻击者有关,包括国家支持的黑客组织、 勒索软件团伙和其他未知攻击者。
来源:会杀毒的单反狗
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!