一名攻击者在黑客论坛上出售，他们声称名字是 BlackLotus 的新 UEFI 这是一种恶意工具，其功能通常与高级持续威胁（APT）组织相关联。

UEFI bootkits 由于恶意软件在引导序列的初始阶段加载，植入系统固件对操作系统中运行的安全软件是看不见的。

虽然想得到这个 Windows bootkit 网络犯罪分子必须支付许可证 5,000 美元。

(资料图)

卖家说 BlackLotus 集成安全启动绕过功能，内置 Ring0/Kernel 防止被删除，并在恢复或安全模式下启动。

BlackLotus 声称有反虚拟机 (anti-VM)、防止恶意软件分析尝试的反调试和代码混淆功能。卖方还声称安全软件无法检测和杀死 bootkit，因为它在法律过程中 SYSTEM 在帐户下运行。

更重要的是，安装后磁盘上只有这个 80 kb 大小的微型 bootkit 内置的可以禁用 Windows 例如，安全保护 Hypervisor-Protected Code Integrity (HVCI) 和 Windows Defender，并绕过用户账户控制 (UAC)。

BlackLotus绕过工作，软件本身和安全指导独立于供应商。若采用安全引导，则采用易受攻击的签名引导加载程序加载引导套件。

通过添加它 UEFI 由于该漏洞影响了今天仍在使用的数百个引导加载程序，因此不可能取消列表来修复此漏洞。”

黑客论坛（ KELA 的 Dark Beast 平台）上BlackLotus bootkit 的宣传帖子

卡巴斯基安全研究员说：过去，这些威胁和技术只能通过开发高级持续威胁来访问。现在这些工具掌握在普通犯罪分子手中 。”

其他安全分析师将 BlackLotus 在现成的恶意软件中，任何财力雄厚的网络犯罪分子的广泛可用性都被标记为 APT 可用性的飞跃更广泛。

这是一个令人担忧的趋势，BlackLotus 可用于加载自带驱动程序 (BYOVD)未签名驱动程序。

最近几周，这类攻击与包括国家支持的黑客组织在内的广泛攻击者有关 勒索软件团伙和其他未知攻击者。

标签： 恶意软件 驱动程序 网络犯罪