Ring 0级固件威胁:新型UEFI rootkit恶意软件BlackLotus曝光

阅读量159176

发布时间 : 2022-10-21 08:17:41

 

最近引发广泛讨论的“BlackLotus”,属于一款相当全能的固件级 rootkit 恶意软件。特点是能够躲过各种删除操作,以及绕过先进的 Windows 防护措施。此前这类高级攻击能力,仅被拥有深厚背景的机构所拥有,比如情报威胁组织。然而据报道,一款更新、更强大的 UEFT rootkit,正被人挂到暗网论坛上叫卖。

卖家宣称 BlackLotus 是一款固件级 rootkit 恶意软件,能够绕过 Windows 防护措施、并在 x86 架构的最底层运行恶意代码。

率先曝光此事的安全研究人员指出,单个 rootkit 的许可证费用高达 5000 美元,而后续代码重建则只需 200 美元。

不过考虑到卖家罗列出来的功能,即使需要耗费重资,世界各地的网络犯罪分子和黑帽黑客也会趋之若鹜。

Scott Scheferman 总结道:

BlackLotus 采用了汇编与 C 语言编写,体量仅 80KB(约 81920 字节)。

通过在内核级别(ring 0)提供‘代理防护’(agent protection),该 rootkit 能够在 UEFI 固件中长期驻留。

此外 BlackLotus 具有反虚拟机、反调试和代码混淆功能,以阻碍研究人员对其展开分析尝试,且附带功能齐备的安装指南 / 常见问题解答。

与同类 rootkit 一样,BlackLotus 能够在 Windows 启动前的第一阶段被加载,因而能够绕过 Windows / x86 平台上的诸多安全防护措施。

除了无视 Secure Boot、UAC、BitLocker、HVCI 和 Windows Defender,该恶意软件还提供了加载未签名驱动程序的能力。

其它高级功能包括功能齐备的文件传输模式、以及易攻破的签名引导加载程序 —— 除非影响当今仍在使用的数百个引导加载程序,否则很难将它斩草除根。

Scott Scheferman 还强调了 BlackLotus 可能对基于固件的现代安全防护机制构成威胁。

而且新 UEFI rootkit 在易用性、扩展性、可访问性、持久性、规避和破坏潜力方面,都实现了相当大的跨越。

此前人们一度认为这类威胁相当罕见,但过去几天不断被打脸的攻击报告,已经指向了截然不同的未来趋势。

最后,安全社区将对 BlackLotus 恶意软件的实际样本展开更加细致、深入的分析,以确定传闻的真实性、还是说它只是某人精心编造的一个骗局。

本文转载自: cnbeta.com

如若转载,请注明出处: https://www.cnbeta.com/articles/tech/1329141.htm

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66