ИБ-эксперты обратили внимание, что на хакерских форумах рекламируется UEFI-буткит под названием BlackLotus. Его продавец утверждает, что BlackLotus имеет встроенный обход Secure Boot, встроенную защиту от удаления на уровне Ring0/Ядра, а также запускается в режиме восстановления и в безопасном режиме.
Специалисты напоминают, что UEFI-буткиты внедряются в прошивку и поэтому «невидимы» для защитных продуктов, работающих в операционной системе, ведь такая малварь загружается на самом начальном этапе.
Известный ИБ-эксперт Скотт Шеферман (Scott Scheferman), одним из первым обративший внимание на это объявление, сообщает, что Black Lotus имеет размер 80 килобайт, написан на ассемблере и C, и умеет определять геозону жертвы, чтобы избегать заражения машин в странах СНГ. Вредонос предлагается к продаже за 5000 долларов США, а каждая новая версия будет стоить еще 200 долларов США.
Продавец утверждает, что малварь оснащена антивиртуализацей, антиотладкой и обфускацией, что усложняет ее обнаружение и анализ. Также, согласно заявлениям продавца, защитное ПО не сможет обнаружить и уничтожить буткит, так как тот запускается под учетной записью SYSTEM внутри легитимного процесса.
Помимо этого Black Lotus якобы способен отключать защитные механизмы на целевых машинах, включая Hypervisor-Protected Code Integrity (HVCI) и Windows Defender, а также обходить User Account Control (UAC).
«Само ПО и обход Secure Boot работают независимо от поставщика. Если [на целевой машине] используется Secure Boot, для загрузки буткита применяется уязвимый подписанный загрузчик, — поясняет продавец. — Исправить эту уязвимость в настоящее время невозможно, поскольку она затрагивает сотни загрузчиков, которые используются в настоящее время».
Стоит сказать, что о Black Lotus уже известно и «Лаборатории Касперского». Так, в недавнем интервью изданию The Register специалист компании Сергей Ложкин предупреждал, что возможности, описанные в рекламе буткита, обычно доступны только серьезным группам «правительственных» хакеров, которые имеют соответствующее финансирование и подготовку.
Ложкин признается, что увидев рекламу BlackLotus на одном из хак-форумов, он сразу захотел заполучить его, поскольку такую малварь просто необходимо отреверсить и немедленно предупредить о ней клиентов.
Упомянутый выше Скотт Шеферман согласен с тем, что доступность Black Lotus – это крайне опасная тенденция, однако эксперт пишет, что к рекламе все же стоит относиться с долей скепсиса.
«Следует отметить, что до тех пор, пока мы или кто-то другой не получим образец этой вредоносной программы и не запустим ее на лабораторной машине, всегда есть вероятность, что она еще не готова для демонстрации, а некоторые аспекты функций не работают должным образом. Существует даже вероятность того, что все это мошенничество», — говорит Шеферман.