- Регистрация
- 03.06.2012
- Сообщения
- 6 082
- Репутация
ИБ-эксперты обратили внимание, что на хакерских форумах рекламируется UEFI-буткит под названием BlackLotus. Его продавец утверждает, что BlackLotus имеет встроенный обход Secure Boot, встроенную защиту от удаления на уровне Ring0/Ядра, а также запускается в режиме восстановления и в безопасном режиме.
Специалисты напоминают, что UEFI-буткиты внедряются в прошивку и поэтому «невидимы» для защитных продуктов, работающих в операционной системе, ведь такая малварь загружается на самом начальном этапе.
Реклама BlackLotus
Известный ИБ-эксперт Скотт Шеферман (Scott Scheferman), одним из первым обративший внимание на это объявление,
Продавец утверждает, что малварь оснащена антивиртуализацей, антиотладкой и обфускацией, что усложняет ее обнаружение и анализ. Также, согласно заявлениям продавца, защитное ПО не сможет обнаружить и уничтожить буткит, так как тот запускается под учетной записью SYSTEM внутри легитимного процесса.
Помимо этого Black Lotus якобы способен отключать защитные механизмы на целевых машинах, включая Hypervisor-Protected Code Integrity (HVCI) и Windows Defender, а также обходить User Account Control (UAC).
Стоит сказать, что о Black Lotus уже известно и «Лаборатории Касперского». Так, в недавнем интервью изданию
Ложкин признается, что увидев рекламу BlackLotus на одном из хак-форумов, он сразу захотел заполучить его, поскольку такую малварь просто необходимо отреверсить и немедленно предупредить о ней клиентов.
Упомянутый выше Скотт Шеферман согласен с тем, что доступность Black Lotus – это крайне опасная тенденция, однако эксперт пишет, что к рекламе все же стоит относиться с долей скепсиса.
Источник:
Специалисты напоминают, что UEFI-буткиты внедряются в прошивку и поэтому «невидимы» для защитных продуктов, работающих в операционной системе, ведь такая малварь загружается на самом начальном этапе.
Известный ИБ-эксперт Скотт Шеферман (Scott Scheferman), одним из первым обративший внимание на это объявление,
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
, что Black Lotus имеет размер 80 килобайт, написан на ассемблере и C, и умеет определять геозону жертвы, чтобы избегать заражения машин в странах СНГ. Вредонос предлагается к продаже за 5000 долларов США, а каждая новая версия будет стоить еще 200 долларов США.Продавец утверждает, что малварь оснащена антивиртуализацей, антиотладкой и обфускацией, что усложняет ее обнаружение и анализ. Также, согласно заявлениям продавца, защитное ПО не сможет обнаружить и уничтожить буткит, так как тот запускается под учетной записью SYSTEM внутри легитимного процесса.
Помимо этого Black Lotus якобы способен отключать защитные механизмы на целевых машинах, включая Hypervisor-Protected Code Integrity (HVCI) и Windows Defender, а также обходить User Account Control (UAC).
Стоит сказать, что о Black Lotus уже известно и «Лаборатории Касперского». Так, в недавнем интервью изданию
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
специалист компании Сергей Ложкин предупреждал, что возможности, описанные в рекламе буткита, обычно доступны только серьезным группам «правительственных» хакеров, которые имеют соответствующее финансирование и подготовку.Ложкин признается, что увидев рекламу BlackLotus на одном из хак-форумов, он сразу захотел заполучить его, поскольку такую малварь просто необходимо отреверсить и немедленно предупредить о ней клиентов.
Упомянутый выше Скотт Шеферман согласен с тем, что доступность Black Lotus – это крайне опасная тенденция, однако эксперт пишет, что к рекламе все же стоит относиться с долей скепсиса.
Источник:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
