最近引發(fā)廣泛討論的“BlackLotus”，屬于一款相當全能的固件級 rootkit 惡意軟件。特點是能夠躲過各種刪除操作，以及繞過先進的 Windows 防護措施。此前這類高級攻擊能力，僅被擁有深厚背景的機構(gòu)所擁有，比如情報威脅組織。然而據(jù)報道，一款更新、更強大的 UEFT rootkit，正被人掛到暗網(wǎng)論壇上叫賣。

賣家宣稱 BlackLotus 是一款固件級 rootkit 惡意軟件，能夠繞過 Windows 防護措施、并在 x86 架構(gòu)的最底層運行惡意代碼。

率先曝光此事的安全研究人員指出，單個 rootkit 的許可證費用高達 5000 美元，而后續(xù)代碼重建則只需 200 美元。

不過考慮到賣家羅列出來的功能，即使需要耗費重資，世界各地的網(wǎng)絡(luò)犯罪分子和黑帽黑客也會趨之若鶩。

Scott Scheferman 總結(jié)道：

BlackLotus 采用了匯編與 C 語言編寫，體量僅 80KB（約 81920 字節(jié)）。

通過在內(nèi)核級別（ring 0）提供‘代理防護’（agent protection），該 rootkit 能夠在 UEFI 固件中長期駐留。

此外 BlackLotus 具有反虛擬機、反調(diào)試和代碼混淆功能，以阻礙研究人員對其展開分析嘗試，且附帶功能齊備的安裝指南 / 常見問題解答。

黑市叫賣帖

與同類 rootkit 一樣，BlackLotus 能夠在 Windows 啟動前的第一階段被加載，因而能夠繞過 Windows / x86 平臺上的諸多安全防護措施。

除了無視 Secure Boot、UAC、BitLocker、HVCI 和 Windows Defender，該惡意軟件還提供了加載未簽名驅(qū)動程序的能力。

其它高級功能包括功能齊備的文件傳輸模式、以及易攻破的簽名引導(dǎo)加載程序 —— 除非影響當今仍在使用的數(shù)百個引導(dǎo)加載程序，否則很難將它斬草除根。

Scott Scheferman 還強調(diào)了 BlackLotus 可能對基于固件的現(xiàn)代安全防護機制構(gòu)成威脅。

而且新 UEFI rootkit 在易用性、擴展性、可訪問性、持久性、規(guī)避和破壞潛力方面，都實現(xiàn)了相當大的跨越。

此前人們一度認為這類威脅相當罕見，但過去幾天不斷被打臉的攻擊報告，已經(jīng)指向了截然不同的未來趨勢。

最后，安全社區(qū)將對 BlackLotus 惡意軟件的實際樣本展開更加細致、深入的分析，以確定傳聞的真實性、還是說它只是某人精心編造的一個騙局。

（舉報）