BlackLotus، روت کیت جدید UEFI که محققان امنیتی را نگران می کند


چرا مهم است: “BlackLotus” در انجمن‌های زیرزمینی به‌عنوان یک روت‌کیت فریم‌افزار قدرتمند ارائه می‌شود که می‌تواند از هرگونه تلاش حذف و دور زدن پیشرفته‌ترین محافظت‌های ویندوز جان سالم به در ببرد. البته اگر نمونه بدافزار واقعی بتواند ثابت کند که این پیشنهاد واقعی است.

طبق گزارش‌ها، روت‌کیت جدید قدرتمند UEFI در انجمن‌های زیرزمینی به فروش می‌رسد، که ویژگی‌های حمله پیشرفته‌ای را ارائه می‌کند که قبلاً فقط برای آژانس‌های اطلاعاتی و گروه‌های تهدید تحت حمایت دولت در دسترس بود. BlackLotus، همانطور که فروشنده ناشناس بدافزار نامیده است، یک روت کیت میان‌افزاری است که می‌تواند حفاظت‌های ویندوز را برای اجرای کدهای مخرب در پایین‌ترین سطح حلقه‌های حفاظتی معماری x86 دور بزند.

به گفته محققان امنیتی که تبلیغات BlackLotus را در انجمن‌های جرم‌افزار مشاهده کردند، یک مجوز کاربر روت‌کیت تا 5000 دلار هزینه دارد، در حالی که بازسازی کد بعدی «فقط» 200 دلار است. با توجه به قابلیت های ذکر شده توسط فروشنده، حتی صرف 5000 دلار می تواند یک معامله واقعی برای مجرمان سایبری و هکرهای کلاه سیاه در سراسر جهان باشد.

همانطور که توسط محقق امنیتی اسکات شفرمن خلاصه شده است، BlackLotus در اسمبلی و C نوشته شده است و وزن آن 80 کیلوبایت (فقط حدود 81920 بایت) است در حالی که مستقل از فروشنده است. روت کیت دارای ویژگی های ضد VM، ضد اشکال زدایی و مبهم سازی کد برای مسدود کردن یا ممانعت از تلاش های تجزیه و تحلیل است، یک “محافظت عامل” در سطح هسته (حلقه 0) برای ماندگاری در سیستم عامل UEFI ارائه می دهد، و همراه با راهنمای نصب کاملاً مشخص است. و پرسش و پاسخ

مانند هر روت کیت مناسب دیگری، BlackLotus در اولین مراحل فرآیند بوت قبل از مرحله راه اندازی ویندوز بارگذاری می شود. ظاهراً این بدافزار می‌تواند بسیاری از حفاظت‌های امنیتی ویندوز از جمله Secure Boot، UAC، BitLocker، HVCI و Windows Defender را دور بزند، در حالی که توانایی بارگیری درایورهای بدون امضا را ارائه می‌دهد. سایر ویژگی های پیشرفته این بدافزار عبارتند از حالت انتقال فایل با ویژگی های کامل، و یک “بوت لودر امضا شده آسیب پذیر” که بدون تاثیر بر صدها بوت لودر که هنوز در حال استفاده هستند نمی توان آن را باطل کرد.

اسکات شفرمن خطری را که BlackLotus می‌تواند برای امنیت مبتنی بر سیستم‌افزار مدرن ایجاد کند برجسته می‌کند و سطح تهدیدی را که قبلاً فقط برای تهدیدات پایدار پیشرفته (APT) توسط گروه‌های تحت حمایت دولتی مانند GRU روسیه یا APT 41 خود چین در دسترس همه قرار می‌گرفت، در دسترس قرار می‌دهد. روت کیت جدید UEFI می تواند یک جهش واقعی برای جرایم سایبری از نظر سهولت استفاده، مقیاس پذیری، دسترسی، پایداری، فرار و پتانسیل تخریب باشد.

روت کیت های UEFI زمانی به عنوان تهدیدات بسیار کمیاب و تخصصی در نظر گرفته می شدند، اما بسیاری از اکتشافات در چند سال گذشته سناریوی کاملا متفاوتی را نشان داده اند. در مورد BlackLotus، جامعه امنیتی باید نمونه واقعی بدافزار را تجزیه و تحلیل کند تا مشخص کند که آیا ویژگی های تبلیغ شده واقعی هستند، آیا آماده تولید است یا این که فقط یک کلاهبرداری مفصل است.



منبع