最近引發廣泛討論的“BlackLotus”,屬於一款相當全能的固件級 rootkit 惡意軟件。特點是能夠躲過各種刪除操作,以及繞過先進的 Windows 防護措施。此前這類高級攻擊能力,僅被擁有深厚背景的機構所擁有,比如情報威脅組織。然而據報道,一款更新、更強大的 UEFT rootkit,正被人掛到暗網論壇上叫賣。
“防護環”示意(圖自:Wikipedia / Hertzsprung)
賣家宣稱 BlackLotus 是一款固件級 rootkit 惡意軟件,能夠繞過 Windows 防護措施、並在 x86 架構的最底層運行惡意代碼。
率先曝光此事的安全研究人員指出,單個 rootkit 的許可證費用高達 5000 美元,而後續代碼重建則只需 200 美元。
不過考慮到賣家羅列出來的功能,即使需要耗費重資,世界各地的網絡犯罪分子和黑帽黑客也會趨之若鶩。
Scott Scheferman 總結道:
BlackLotus 採用了彙編與 C 語言編寫,體量僅 80KB(約 81920 字節)。
通過在內核級別(ring 0)提供‘代理防護’(agent protection),該 rootkit 能夠在 UEFI 固件中長期駐留。
此外 BlackLotus 具有反虛擬機、反調試和代碼混淆功能,以阻礙研究人員對其展開分析嘗試,且附帶功能齊備的安裝指南 / 常見問題解答。
黑市叫賣帖
與同類 rootkit 一樣,BlackLotus 能夠在 Windows 啟動前的第一階段被加載,因而能夠繞過 Windows / x86 平台上的諸多安全防護措施。
除了無視 Secure Boot、UAC、BitLocker、HVCI 和 Windows Defender,該惡意軟件還提供了加載未簽名驅動程序的能力。
其它高級功能包括功能齊備的文件傳輸模式、以及易攻破的簽名引導加載程序 —— 除非影響當今仍在使用的數百個引導加載程序,否則很難將它斬草除根。
Scott Scheferman 還強調了 BlackLotus 可能對基於固件的現代安全防護機制構成威脅。
而且新 UEFI rootkit 在易用性、擴展性、可訪問性、持久性、規避和破壞潛力方面,都實現了相當大的跨越。
此前人們一度認為這類威脅相當罕見,但過去幾天不斷被打臉的攻擊報告,已經指向了截然不同的未來趨勢。
最後,安全社區將對 BlackLotus 惡意軟件的實際樣本展開更加細緻、深入的分析,以確定傳聞的真實性、還是說它只是某人精心編造的一個騙局。