"BlackLotus", yeraltı forumlarında, her türlü kaldırma (Uninstall) çabasından kurtulabilen ve en gelişmiş Windows korumalarını atlayabilen, tamamen güçlü bir firmware rootkit olarak sunuluyor. Elbette bunun kanıtlanması gerek.
Daha önce sadece istihbarat teşkilatları ve devlet destekli tehdit grupları için mevcut olan gelişmiş saldırı özellikleri sunan yeni ve güçlü bir UEFI rootkit'in bazı yer altı forumlarında satışa sunulduğu bildiriliyor. Bilinmeyen satıcının kötü amaçlı yazılımı adlandırdığı gibi BlackLotus, kötü amaçlı kodu x86 mimarisinde bile koruma halkalarının en düşük seviyesinde çalışabilip ,Windows korumalarını atlayabilen bir üretici yazılımı kök takımıdır .
BlackLotus reklamlarını suç yazılımı forumlarında tespit eden güvenlik araştırmacılarına göre, tek bir rootkit kullanıcı lisansının maliyeti 5.000 ABD Dolarına kadar çıkarken, sonraki bir kod yeniden oluşturma işlemi "sadece" 200 ABD Dolarıdır. Satıcı tarafından listelenen yetenekler göz önüne alındığında, 5.000 dolar harcamak bile dünya çapındaki siber suçlular ve siyah şapkalı hackerlar için gerçek bir pazarlık olarak görülebilir.
Güvenlik araştırmacısı Scott Scheferman tarafından özetlendiği gibi , BlackLotus Assembly ve C ile yazılmıştır ve 80 kilobayt (yaklaşık 81.920 bayt boyutunda) boyutundadır Rootkit, analiz girişimlerini engellemek için anti-VM, anti-hata ayıklama ve kod gizleme özelliklerine sahiptir, UEFI belleniminde kalıcılık için çekirdek düzeyinde (ring 0) bir "aracı koruması" sağlar ve tam özellikli bir kurulum kılavuzu ile birlikte gelir
Diğer tüm uygun rootkitler gibi, BlackLotus da Windows başlatma aşamasından önce , yani önyükleme işleminin ilk aşamalarında yüklenir. Kötü amaçlı yazılım, imzasız sürücüleri yükleme yeteneği sunarken Secure Boot, UAC, BitLocker, HVCI ve Windows Defender dahil olmak üzere birçok Windows güvenlik korumasını atlayabildiği iddia ediliyor. Kötü amaçlı yazılımın diğer gelişmiş özellikleri arasında tam özellikli bir dosya aktarım modu ve bugün hala kullanımda olan yüzlerce önyükleyiciyi etkilemeden geçersiz kılan imzalı bir önyükleyici" bulunmaktadır.
Scott Scheferman, BlackLotus'un modern üretici yazılımı tabanlı güvenlik için oluşturabileceği tehlikenin altını çizerek, bu tehdit düzeyini daha önce yalnızca Rus GRU veya Çin'in kendi APT 41'i gibi devlet destekli gruplar tarafından kullanılabilirken artık herkesin kullanımına açık . Yeni UEFI rootkit, kullanım kolaylığı, ölçeklenebilirlik, erişilebilirlik, kalıcılık, kaçınma ve imha potansiyeli açısından siber suçlar için gerçek bir atılımı temsil edebilir.
UEFI rootkit'leri bir zamanlar çok nadir ve özel tehditler olarak kabul edildi, ancak son birkaç yıldaki birçok keşif tamamen farklı bir senaryo gösterdi . BlackLotus'a gelince, güvenlik topluluğunun, reklamı yapılan özelliklerin gerçek olup olmadığını, üretime hazır olup olmadığını veya yalnızca ayrıntılı bir dolandırıcılık olup olmadığını belirlemek için kötü amaçlı yazılımın gerçek bir örneğini analiz etmesi gerekecektir.
Kaynak:
https://www.techspot.com/news/96380-bla ... worry.html