Ring 0級固件威脅:新型UEFI rootkit惡意軟件BlackLotus曝光


最近引發廣泛討論的“BlackLotus”,屬於一款相當全能的固件級rootkit惡意軟件。特點是能夠躲過各種刪除操作,以及繞過先進的Windows防護措施。此前這類高級攻擊能力,僅被擁有深厚背景的機構所擁有,比如情報威脅組織。然而據報道,一款更新、更強大的UEFTrootkit,正被人掛到暗網論壇上叫賣。

“防護環”示意(圖自:Wikipedia / Hertzsprung)

賣傢宣稱 BlackLotus 是一款固件級 rootkit 惡意軟件,能夠繞過 Windows 防護措施、並在 x86 架構的最底層運行惡意代碼。

率先曝光此事的安全研究人員指出,單個 rootkit 的許可證費用高達 5000 美元,而後續代碼重建則隻需 200 美元。

不過考慮到賣傢羅列出來的功能,即使需要耗費重資,世界各地的網絡犯罪分子和黑帽黑客也會趨之若鶩。

Scott Scheferman 總結道:

BlackLotus 采用匯編與 C 語言編寫,體量僅 80KB(約 81920 字節)。

通過在內核級別(ring 0)提供‘代理防護’(agent protection),該 rootkit 能夠在 UEFI 固件中長期駐留。

此外 BlackLotus 具有反虛擬機、反調試和代碼混淆功能,以阻礙研究人員對其展開分析嘗試,且附帶功能齊備的安裝指南 / 常見問題解答。

黑市叫賣帖

與同類 rootkit 一樣,BlackLotus 能夠在 Windows 啟動前的第一階段被加載,因而能夠繞過 Windows / x86 平臺上的諸多安全防護措施。

除無視 Secure Boot、UAC、BitLocker、HVCI 和 Windows Defender,該惡意軟件還提供加載未簽名驅動程序的能力。

其它高級功能包括功能齊備的文件傳輸模式、以及易攻破的簽名引導加載程序 —— 除非影響當今仍在使用的數百個引導加載程序,否則很難將它斬草除根。

Scott Scheferman 還強調 BlackLotus 可能對基於固件的現代安全防護機制構成威脅。

而且新 UEFI rootkit 在易用性、擴展性、可訪問性、持久性、規避和破壞潛力方面,都實現相當大的跨越。

此前人們一度認為這類威脅相當罕見,但過去幾天不斷被打臉的攻擊報告,已經指向截然不同的未來趨勢。

最後,安全社區將對 BlackLotus 惡意軟件的實際樣本展開更加細致、深入的分析,以確定傳聞的真實性、還是說它隻是某人精心編造的一個騙局。


相關推薦

2022-07-27

年爆發“SpyShadow”木馬的更早版本。目前在華碩和技嘉的固件中發現這款UEFI惡意程序,即使重新安裝Windows系統也無法移除這款UEFI惡意程序。卡巴斯基表示現階段隻有 Windows 系統受到攻擊:“現階段發現的所有攻擊設備都運行 Wi

2022-06-30

瞭Windows、macOS和Linux聯網設備的運行。LumenTechnologies旗下BlackLotus實驗室的研究人員指出,其已確認至少80款被隱形惡意軟件感染的目標,且涉及思科、Netgear、華碩和GrayTek等品牌的路由器型號。圖 1 - ZuoRAT 活動概述(來自:Black Lot

2022-07-28

擊獲得目標機器上的高級別權限。SubZero同時本身是一個rootkit,可以對被攻擊的系統進行完全控制。DSIRF可以利用以前未知的Windows 0day特權升級漏洞和Adobe Reader遠程代碼執行攻擊來破壞系統,微軟將該安全漏洞標記為CVE ID CVE-2022-2

2022-07-29

GNOME和RedHat的開發人員正在努力將固件安全提示和建議整合到桌面,以警告用戶平臺/固件安全問題,如UEFI安全啟動是否被禁用,以及其他可能的系統被利用的途徑。在GNOME控制中心中,有一個固件安全區域正在努力顯示UEFI安全

2022-07-21

來自網絡安全公司ESET的研究團隊近日發現一種新型macOS惡意程序CloudMensis,一旦Mac設備感染就會安插後門,用於滲透本地網絡、記錄鍵盤敲擊、查看文檔和屏幕截圖,竊取重要敏感信息。該惡意軟件甚至可以從已經刪除的存儲中

2024-02-07

黑客正在不斷探測每個聯網設備的漏洞,因此設備軟件/固件制造商與網絡犯罪分子之間確實存在著軍備競賽。Fortinet 公司最近將一臺"未受保護"的個人電腦連接到互聯網上,結果發現隻用 20 分鐘,這臺電腦就被惡意軟件

2022-07-19

軟件進行逆向工程,確定它根本沒有破解密碼,而是利用固件中的一個漏洞,允許它按命令檢索密碼。此外,該軟件是一個惡意軟件投放器,用Sality惡意軟件感染機器,將主機變成Sality點對點僵屍網絡中的一員。德拉戈斯的研究

2023-02-23

員最近發現,一個名為"普利茅斯"的威脅行為者在多個地下論壇上宣傳該惡意軟件。據介紹,Stealc是一個功能齊全、隨時可以使用的信息竊取工具,它基於更流行的信息竊取工具所帶來的"經驗"搭建出

2024-05-22

性:第一全部都是安全核心PC(Secured-core PC),具備先進的固件保護功能和動態可信度量根,可以提供覆蓋芯片、雲、關鍵計算層的全面防護。第二全部默認啟用Mcirosoft Pluton安全處理器,這是微軟設計的從芯片到雲的安全技術,以

2022-10-06

移動安全公司Zimperium發現一種名為"RatMilad"的新Android惡意軟件,目標是中東地區的移動設備。據該公司稱,該惡意軟件被用於網絡間諜活動、敲詐勒索或竊聽受害者的談話。該惡意軟件隱藏在一個名為"NumRe

2022-11-16

一份新的全球威脅報告為微軟描繪一幅糟糕的畫面,因為Windows繼續擁有最多的惡意軟件感染,而macOS的惡意軟件最少。ElasticSecurityLabs周二發佈一份網絡安全報告,研究流行的操作系統和它們收到的威脅,該公司還包括對企業客

2022-09-07

的未經請求的軟件本身可能並不危險……它可用於將其他威脅加載到設備上”。使用熱門遊戲傳播的其他類型威脅包括非病毒:AdWare (4.19%)、Trojan (2.99%)、DangerousObject (0.86%)、Trojan-SMS (0.49%)、Trojan-Downloader (0.48%) , not-a-virus:WebToolbar

2023-02-08

的信息竊取惡意軟件為手段攻擊烏克蘭實體。賽門鐵克的威脅獵手團隊將這一活動歸因於一個與俄羅斯有關的網絡威脅行為者,它之前被稱為TA471(或UAC-0056),自2021年初以來一直活躍,該組織支持俄羅斯政府的利益,雖然它主

2023-03-15

泄露時,密碼是最常被泄露的信息之一。而當攻擊背後的威脅者掌握這些信息後,它們通常會在暗網上轉賣,在那裡它們可以被購買並用於身份和財務盜竊。網絡安全公司SpyCloud的2023年身份暴露報告證實這一點。根據該文件,該