Förmodligen finns en sällsynt ny typ av skadlig programvara tillgänglig på den svarta marknaden, som innehåller funktioner som vanligtvis är reserverade för statligt drivna hackverktyg som gör upptäckt praktiskt taget omöjlig för alla antivirusprogram.
Känd som BlackLotus, påstås skadlig programvara vara ett uppstartskit för Unified Extensible Firmware Interface (UEFI). UEFI är datorstandarden som fungerar som gränssnittet mellan operativsystemet och den fasta programvaran; När du slår på din dator startar UEFI en bootloader, som i sin tur startar kärnan och operativsystemet.
Skadlig programvara läses in i det initiala starttillståndet och bäddar in sig i systemets firmware, vilket gör att den kan kringgå alla säkerhetskontroller för antivirusprogramvara och därmed förbli oupptäckt.
tunga funktioner
På ett onlineforum för skadlig programvara där BlackLotus-licenser uppenbarligen säljs för €5,000 XNUMX styck, hävdar leverantören att inte ens Safe Boot kommer att omintetgöra verktyget, eftersom en sårbar bootloader används. Dessutom noterade de att att lägga till denna starthanterare till UEFI-återkallningslistan (öppnas i en ny flik) inte skulle lösa problemet, eftersom det för närvarande finns hundratals andra med samma sårbarhet som kan användas istället.
Ett annat attribut som gör BlackLotus så potentiellt farligt är dess uppenbara Ring 0/kärna-skydd. Datorer arbetar genom skyddsringar som delar upp systemet på olika nivåer baserat på deras kritiska betydelse för maskinens funktion, för att förhindra att potentiella hot och buggar läcker någon annanstans.
Tillgång genom dessa ringar blir allt svårare. Kärnan är Ring 0, som innehåller kärnan: det är det som kopplar din mjukvara till din hårdvara. Denna ring representerar den högsta skyddsnivån vad gäller åtkomst, så om BlackLotus har ring 0-skydd skulle det vara extremt svårt att bli av med.
Säljaren hävdade också att BlackLotus har förmågan att inaktivera Windows Defender och kommer med anti-debugging för att förhindra upptäckt från skadlig programvara.
Det är inte längre i statens händer
Experter varnar för att skadlig programvara i BlackLotus-skala inte längre är den exklusiva jurisdiktionen för regeringar och stater. Sergey Lozhkin, huvudsäkerhetsforskare vid Kaspersky, sa (öppnas i en ny flik): "Tidigare var dessa hot och teknologier endast tillgängliga för killarna som utvecklar avancerade ihållande hot, främst regeringar. Idag finns dessa typer av verktyg i händerna brottslingar på forumen.
Förra året upptäcktes ett annat UEFI-bootkit kallat ESPecter som tydligen designades för minst 10 år sedan för användning i system-BIOS, föregångaren till UEFI. Deras tillgänglighet utanför statliga grupper är fortfarande mycket sällsynt, åtminstone för närvarande.
En annan säkerhetsexpert, Eclypsium CTO Scott Scheferman, försökte dämpa oro genom att säga att de fortfarande inte kunde vara säkra på BlackLotus påstådda påståenden, och sa att även om det kan representera framsteg när det gäller enkel åtkomst till sådana kraftfulla verktyg, kan det fortfarande finnas i dess tidiga produktionsstadier och kanske inte fungerar så effektivt som påstås.
Hur som helst går framstegsmarschen mycket snabbt i cyberbrottslingarnas värld, och om vinster kan göras på produktion och användning av så kraftfull skadlig programvara kommer det inte att råda någon brist på efterfrågan på utveckling och förbättring. När katten väl är ute ur påsen är det väldigt svårt att stoppa in den igen.