UEFI-буткит BlackLotus обходит защиту даже в Windows 11

Эксперты компании ESET сообщили, что UEFI-буткит BlackLotus, который продается на хакерских форумах примерно за 5000 долларов, действительно способен обойти защиту Secure Boot. По данным исследователей, вредонос представляет угрозу даже для полностью обновленных машин под управлением Windows 11 с включенной функцией UEFI Secure Boot

Впервые BlackLotus был замечен в октябре 2022 года. Его продавец утверждал, что буткит имеет встроенный обход Secure Boot, встроенную защиту от удаления на уровне Ring0/Ядра, а также запускается в режиме восстановления и в безопасном режиме.

Кроме того, продавец утверждал, что малварь оснащена антивиртуализацей, антиотладкой и обфускацией, что усложняет ее обнаружение и анализ. Также, согласно его заявлениям, защитное ПО не может обнаружить и уничтожить буткит, так как тот запускается под учетной записью SYSTEM внутри легитимного процесса.

Помимо этого Black Lotus якобы способен отключать защитные механизмы на целевых машинах, включая Hypervisor-Protected Code Integrity (HVCI) и Windows Defender, а также обходить User Account Control (UAC).

Обнаружившие его специалисты писали, что Black Lotus имеет размер 80 килобайт, написан на ассемблере и C, и умеет определять геозону жертвы, чтобы избегать заражения машин в странах СНГ. Вредонос предлагается к продаже за 5000 долларов США, а каждая новая версия будет стоить еще 200 долларов США.

Напомню, что тогда эксперты допускали, что все вышеописанные возможности Black Lotus – это не более чем рекламный трюк, и на деле буткит далеко не так опасен. К сожалению, эти предположения не подтвердились.

Как теперь сообщают ИБ-эксперты ESET, изучавшие вредоноса с осени прошлого года, слухи о том, что буткит легко обходит Secure Boot, «теперь стали реальностью». По их информации, для обхода Secure Boot и закрепления в системе вредонос использует уязвимость CVE-2022-21894 годичной давности.

RuNews|DarkNews.pro|EngNews
🪙CRYPTO SPACE GROUP – 🤔Анонимный миксер крипты. 🟢Оборвём и запутаем все цепочки связей. AML 0-25%. Снятие без верифа и документов. API подключения

SSN 24/7 — LOOKUP SSN/DOB DL BG CR CS️