Một tác nhân đe dọa đang bán trên các diễn đàn hack mà họ tuyên bố là một bootkit UEFI mới có tên BlackLotus, một công cụ độc hại với các khả năng thường được liên kết với các nhóm đe dọa được nhà nước hậu thuẫn.
Bookit UEFI được cài đặt trong phần sụn hệ thống và vô hình trước phần mềm bảo mật chạy trong hệ điều hành vì phần mềm độc hại tải trong giai đoạn đầu của trình tự khởi động.
Trong khi tội phạm mạng muốn có giấy phép cho bộ bootkit Windows này phải trả 5,000 đô la, tác nhân đe dọa cho biết việc xây dựng lại sẽ chỉ khiến họ mất 200 đô la. Người bán cho biết BlackLotus có tính năng bỏ qua Secure Boot tích hợp, có tính năng bảo vệ Ring0 / Kernel tích hợp chống lại việc loại bỏ và sẽ bắt đầu ở chế độ khôi phục hoặc an toàn.
BlackLotus tuyên bố đi kèm với các tính năng chống máy ảo (chống VM), chống gỡ lỗi và xáo trộn mã để chặn các nỗ lực phân tích phần mềm độc hại. Người bán cũng tuyên bố rằng phần mềm bảo mật không thể phát hiện và giết bootkit vì nó chạy trong tài khoản HỆ THỐNG trong một quy trình hợp pháp.
Thậm chí, bộ bootkit nhỏ bé này với kích thước chỉ 80 kb trên đĩa sau khi cài đặt có thể vô hiệu hóa tính năng bảo vệ bảo mật Windows tích hợp như Tính toàn vẹn mã được bảo vệ bởi Hypervisor (HVCI) và Windows Defender và bỏ qua Kiểm soát tài khoản người dùng (UAC).
"Bản thân phần mềm và nhà cung cấp công việc bỏ qua Khởi động An toàn độc lập. Một bộ nạp khởi động được ký kết dễ bị tấn công được sử dụng để tải bootkit nếu Secure Boot được sử dụng, "tác nhân đe dọa giải thích khi một "khách hàng" tiềm năng hỏi liệu nó có hoạt động với một phần sụn cụ thể hay không.
"Việc vá lỗ hổng này bằng cách thêm nó vào danh sách thu hồi UEFI hiện là không thể, vì lỗ hổng này ảnh hưởng đến hàng trăm bộ nạp khởi động vẫn được sử dụng cho đến ngày nay."
 |
| Kẻ quảng bá bootkit BlackLotus trên diễn đàn hack (nền tảng Dark Beast của KELA) |
Phần mềm độc hại cấp APT hiện có sẵn rộng rãi hơn
Trưởng nhóm nghiên cứu bảo mật của Kaspersky, Sergey Lozhkin cũng phát hiện ra BlackLotus đang được quảng cáo trên các diễn đàn tội phạm và cảnh báo rằng đây là một động thái quan trọng vì loại khả năng này thường chỉ dành cho các nhóm hack do nhà nước tài trợ.
"Những mối đe dọa và công nghệ này trước đây chỉ có thể truy cập được bởi những kẻ đang phát triển các mối đe dọa dai dẳng tiên tiến, chủ yếu là các chính phủ. Giờ đây, những loại công cụ này nằm trong tay bọn tội phạm trên khắp các diễn đàn", nhà nghiên cứu bảo mật hàng đầu của Kaspersky, Sergey Lozhkin cho biết vào tuần trước.
Các nhà phân tích bảo mật khác đã gắn thẻ tính khả dụng rộng rãi của BlackLotus cho bất kỳ tội phạm mạng nào có túi tiền đủ sâu như một bước nhảy vọt hướng tới sự sẵn có rộng rãi hơn của các khả năng cấp APT trong phần mềm độc hại có sẵn.
"Tôi đã xem xét các tính năng và khả năng của nó và ngay lập tức, đây là những điểm nổi bật mà mọi đội xanh lam và đội đỏ đều nên biết đầy đủ," Scott Scheferman của Eclypsium cũng cảnh báo.
"Xem xét việc thương mại này từng được chuyển xuống các APT như GRU của Nga và APT 41 (mối quan hệ của Trung Quốc) và xem xét những khám phá tội phạm trước đây mà chúng tôi đã thực hiện (ví dụ: mô-đun Trickboot của Trickbot).
Điều này thể hiện một chút 'bước nhảy vọt' về phía trước, về tính dễ sử dụng, khả năng mở rộng, khả năng tiếp cận và quan trọng nhất là tiềm năng tác động nhiều hơn dưới các hình thức kiên trì, trốn tránh và / hoặc phá hủy.
Tuy nhiên, Scheferman nói rằng cho đến khi một mẫu được tìm thấy, không có cách nào để xác định xem bộ tính năng đã hoàn thành hay thậm chí nó đã sẵn sàng sản xuất.
"Cũng cần lưu ý rằng cho đến khi chúng tôi hoặc ai đó có được một mẫu phần mềm độc hại này và chạy nó trên một hộp gần như sản xuất trong phòng thí nghiệm, luôn có khả năng nó chưa sẵn sàng cho thời gian chiếu, hoặc một số khía cạnh nhất định của các tính năng của nó không hoạt động đúng, hoặc thậm chí có khả năng toàn bộ sự việc là một trò lừa đảo, "Ông nói thêm.
Nếu được xác nhận, đây sẽ là một xu hướng đáng lo ngại khi thấy rằng BlackLotus cũng có thể được sử dụng để tải các trình điều khiển chưa được ký có thể được sử dụng trong các cuộc tấn công Bring Your Own Driver (BYOVD).
Trong những tuần gần đây, các cuộc tấn công như vậy có liên quan đến một loạt các tác nhân đe dọa, bao gồm các nhóm tin tặc được nhà nước hậu thuẫn, các băng đảng ransomware và những kẻ tấn công không xác định.