ИБ-эксперты обратили внимание, что на хакерских форумах рекламируется UEFI-буткит под названием BlackLotus. Его продавец утверждает, что BlackLotus имеет встроенный обход Secure Boot, встроенную защиту от удаления на уровне Ring0/Ядра, а также запускается в режиме восстановления и в безопасном режиме.

Специалисты напоминают, что UEFI-буткиты внедряются в прошивку и поэтому «невидимы» для защитных продуктов, работающих в операционной системе, ведь такая малварь загружается на самом начальном этапе.

Реклама BlackLotus

Известный ИБ-эксперт Скотт Шеферман (Scott Scheferman), одним из первым обративший внимание на это объявление, сообщает, что Black Lotus имеет размер 80 килобайт, написан на ассемблере и C, и умеет определять геозону жертвы, чтобы избегать заражения машин в странах СНГ. Вредонос предлагается к продаже за 5000 долларов США,  а каждая новая версия будет стоить еще 200 долларов США.

Продавец утверждает, что малварь оснащена антивиртуализацей, антиотладкой и обфускацией, что усложняет ее обнаружение и анализ. Также, согласно заявлениям продавца, защитное ПО не сможет обнаружить и уничтожить буткит, так как тот запускается под учетной записью SYSTEM внутри легитимного процесса.

Помимо этого Black Lotus якобы способен отключать защитные механизмы на целевых машинах, включая Hypervisor-Protected Code Integrity (HVCI) и Windows Defender, а также обходить User Account Control (UAC).

«Само ПО и обход Secure Boot работают независимо от поставщика. Если [на целевой машине] используется Secure Boot, для загрузки буткита применяется уязвимый подписанный загрузчик, — поясняет продавец. — Исправить эту уязвимость в настоящее время невозможно, поскольку она затрагивает сотни загрузчиков, которые используются в настоящее время».

Стоит сказать, что о Black Lotus уже известно и «Лаборатории Касперского». Так, в недавнем интервью изданию The Register специалист компании Сергей Ложкин предупреждал, что возможности, описанные в рекламе буткита, обычно доступны только серьезным группам «правительственных» хакеров, которые имеют соответствующее финансирование и подготовку.

Ложкин признается, что увидев рекламу BlackLotus на одном из хак-форумов, он сразу захотел заполучить его, поскольку такую малварь просто необходимо отреверсить и немедленно предупредить о ней клиентов.

Упомянутый выше Скотт Шеферман согласен с тем, что доступность Black Lotus – это крайне опасная тенденция, однако эксперт пишет, что к рекламе все же стоит относиться с долей скепсиса.

«Следует отметить, что до тех пор, пока мы или кто-то другой не получим образец этой вредоносной программы и не запустим ее на лабораторной машине, всегда есть вероятность, что она еще не готова для демонстрации, а некоторые аспекты функций не работают должным образом. Существует даже вероятность того, что все это мошенничество», — говорит Шеферман.

Подписаться
Уведомить о
1 Комментарий
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии