一名威胁参与者在黑客论坛上出售他们声称是名为 BlackLotus 的新 UEFI 引导包,这是一种恶意工具,其功能通常与国家支持的威胁组织相关联。
UEFI bootkits 植入系统固件中,对操作系统内运行的安全软件不可见,因为恶意软件在引导序列的初始阶段加载。
虽然想要获得此 Windows bootkit 许可证的网络犯罪分子必须支付 5,000 美元,但威胁行为者表示,重建只会让他们回到 200 美元。
卖家说 BlackLotus 具有集成的安全启动绕过功能,具有内置的 Ring0/Kernel 保护以防止被删除,并将在恢复或安全模式下启动。
BlackLotus 声称带有反虚拟机 (anti-VM)、反调试和代码混淆功能来阻止恶意软件分析尝试。卖家还声称,安全软件无法检测和杀死 bootkit,因为它在合法进程中的 SYSTEM 帐户下运行。
更重要的是,这个安装后磁盘上只有 80 kb 大小的微型 bootkit 可以禁用内置的 Windows 安全保护,例如 Hypervisor-Protected Code Integrity (HVCI) 和 Windows Defender,并绕过用户帐户控制 (UAC)。
“软件本身和安全引导绕过工作独立于供应商。如果使用安全引导,则使用易受攻击的签名引导加载程序来加载引导套件,”当潜在的“客户”询问它是否可以与特定固件一起使用时,威胁行为者解释说。
“通过将其添加到 UEFI 撤销列表来修补此漏洞目前是不可能的,因为该漏洞影响到今天仍在使用的数百个引导加载程序。”
APT 级恶意软件现在更广泛使用
卡巴斯基首席安全研究员谢尔盖·洛日金(Sergey Lozhkin)也发现了黑莲花在犯罪论坛上的广告,并警告说这是一个重大举措,因为这种能力通常只有国家资助的黑客组织才能使用。
卡巴斯基首席安全研究员 Sergey Lozhkin上周表示: “以前这些威胁和技术只有开发高级持续威胁的人才能访问,主要是政府。现在这些工具掌握在整个论坛的犯罪分子手中 。”
其他安全分析师将 BlackLotus 对任何财力雄厚的网络犯罪分子的广泛可用性标记为向现成恶意软件中 APT 级功能更广泛可用性的飞跃。
Eclypsium 首席技术官 Scott Scheferman 也警告说:“我已经审查了它的特性和功能,并且马上就开始了,这些是每个蓝队和红队都应该充分意识到的要点 。 ”
“考虑到这种贸易技术曾经被归入俄罗斯 GRU 和 APT 41(中国联结)等 APT,并考虑到我们之前的犯罪发现(例如 Trickbot 的 Trickboot 模块),这代表了一点‘飞跃’,在在易用性、可扩展性、可访问性方面,最重要的是,以持久性、逃避和/或破坏的形式产生更大影响的潜力。”
然而,Scheferman 表示,在找到样本之前,无法确定功能集是否完整,或者是否已准备好生产。
“还应该注意的是,在我们或某人获得该恶意软件的样本并在实验室接近生产的盒子上运行它之前,它总是有可能还没有准备好展示时间,或者其功能的某些方面无法正常工作,甚至有可能整个事情都是骗局,”他补充说。
如果得到证实,这将是一个令人担忧的趋势,因为 BlackLotus 也可用于加载可用于自带驱动程序 (BYOVD) 攻击的未签名驱动程序。
最近几周,此类攻击与广泛的威胁行为者有关,包括 国家支持的黑客组织、 勒索软件团伙和 未知攻击者。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 恶意软件开发者声称出售新的BlackLotus Windows UEFI bootkit
