همانطور که توسط محقق امنیتی اسکات شفرمن خلاصه شده است، BlackLotus در اسمبلی و C نوشته شده است و وزن آن 80 کیلوبایت (فقط حدود 81920 بایت) است در حالی که مستقل از فروشنده است. روت کیت دارای ویژگی های ضد VM، ضد اشکال زدایی و مبهم سازی کد برای مسدود کردن یا ممانعت از تلاش های تجزیه و تحلیل است، یک “محافظت عامل” در سطح هسته (حلقه 0) برای ماندگاری در سیستم عامل UEFI ارائه می دهد، و همراه با راهنمای نصب کاملاً مشخص است. و پرسش و پاسخ
اسکات شفرمن خطری را که BlackLotus میتواند برای امنیت مبتنی بر سیستمافزار مدرن ایجاد کند برجسته میکند و سطح تهدیدی را که قبلاً فقط برای تهدیدات پایدار پیشرفته (APT) توسط گروههای تحت حمایت دولتی مانند GRU روسیه یا APT 41 خود چین در دسترس همه قرار میگرفت، در دسترس قرار میدهد. روت کیت جدید UEFI می تواند یک جهش واقعی برای جرایم سایبری از نظر سهولت استفاده، مقیاس پذیری، دسترسی، پایداری، فرار و پتانسیل تخریب باشد.
طبق گزارشها، روتکیت جدید قدرتمند UEFI در انجمنهای زیرزمینی به فروش میرسد، که ویژگیهای حمله پیشرفتهای را ارائه میکند که قبلاً فقط برای آژانسهای اطلاعاتی و گروههای تهدید تحت حمایت دولت در دسترس بود. BlackLotus، همانطور که فروشنده ناشناس بدافزار نامیده است، یک روت کیت میانافزاری است که میتواند حفاظتهای ویندوز را برای اجرای کدهای مخرب در پایینترین سطح حلقههای حفاظتی معماری x86 دور بزند.
مانند هر روت کیت مناسب دیگری، BlackLotus در اولین مراحل فرآیند بوت قبل از مرحله راه اندازی ویندوز بارگذاری می شود. ظاهراً این بدافزار میتواند بسیاری از حفاظتهای امنیتی ویندوز از جمله Secure Boot، UAC، BitLocker، HVCI و Windows Defender را دور بزند، در حالی که توانایی بارگیری درایورهای بدون امضا را ارائه میدهد. سایر ویژگی های پیشرفته این بدافزار عبارتند از حالت انتقال فایل با ویژگی های کامل، و یک “بوت لودر امضا شده آسیب پذیر” که بدون تاثیر بر صدها بوت لودر که هنوز در حال استفاده هستند نمی توان آن را باطل کرد.
روت کیت های UEFI زمانی به عنوان تهدیدات بسیار کمیاب و تخصصی در نظر گرفته می شدند، اما بسیاری از اکتشافات در چند سال گذشته سناریوی کاملا متفاوتی را نشان داده اند. در مورد BlackLotus، جامعه امنیتی باید نمونه واقعی بدافزار را تجزیه و تحلیل کند تا مشخص کند که آیا ویژگی های تبلیغ شده واقعی هستند، آیا آماده تولید است یا این که فقط یک کلاهبرداری مفصل است.
به گفته محققان امنیتی که تبلیغات BlackLotus را در انجمنهای جرمافزار مشاهده کردند، یک مجوز کاربر روتکیت تا 5000 دلار هزینه دارد، در حالی که بازسازی کد بعدی «فقط» 200 دلار است. با توجه به قابلیت های ذکر شده توسط فروشنده، حتی صرف 5000 دلار می تواند یک معامله واقعی برای مجرمان سایبری و هکرهای کلاه سیاه در سراسر جهان باشد.
چرا مهم است: “BlackLotus” در انجمنهای زیرزمینی بهعنوان یک روتکیت فریمافزار قدرتمند ارائه میشود که میتواند از هرگونه تلاش حذف و دور زدن پیشرفتهترین محافظتهای ویندوز جان سالم به در ببرد. البته اگر نمونه بدافزار واقعی بتواند ثابت کند که این پیشنهاد واقعی است.