Ring 0級固件威脅：新型UEFI rootkit惡意軟件BlackLotus曝光

最近引發廣泛討論的“BlackLotus”，屬于一款相當全能的固件級 rootkit 惡意軟件。特點是能夠躲過各種刪除操作，以及繞過先進的 Windows 防護措施。此前這類高級攻擊能力，僅被擁有深厚背景的機構所擁有，比如情報威脅組織。然而據報道，一款更新、更強大的 UEFT rootkit，正被人掛到暗網論壇上叫賣。

賣家宣稱 BlackLotus 是一款固件級 rootkit 惡意軟件，能夠繞過Windows防護措施、并在 x86 架構的最底層運行惡意代碼。

率先曝光此事的安全研究人員指出，單個 rootkit 的許可證費用高達 5000 美元，而后續代碼重建則只需 200 美元。

不過考慮到賣家羅列出來的功能，即使需要耗費重資，世界各地的網絡犯罪分子和黑帽黑客也會趨之若鶩。

Scott Scheferman 總結道：

BlackLotus 采用了匯編與 C 語言編寫，體量僅 80KB（約 81920 字節）。

通過在內核級別（ring 0）提供‘代理防護’（agent protection），該 rootkit 能夠在 UEFI 固件中長期駐留。

此外 BlackLotus 具有反虛擬機、反調試和代碼混淆功能，以阻礙研究人員對其展開分析嘗試，且附帶功能齊備的安裝指南 / 常見問題解答。

與同類 rootkit 一樣，BlackLotus 能夠在 Windows 啟動前的第一階段被加載，因而能夠繞過 Windows / x86 平臺上的諸多安全防護措施。

除了無視 Secure Boot、UAC、BitLocker、HVCI 和 Windows Defender，該惡意軟件還提供了加載未簽名驅動程序的能力。

其它高級功能包括功能齊備的文件傳輸模式、以及易攻破的簽名引導加載程序 —— 除非影響當今仍在使用的數百個引導加載程序，否則很難將它斬草除根。

Scott Scheferman 還強調了 BlackLotus 可能對基于固件的現代安全防護機制構成威脅。

而且新 UEFI rootkit 在易用性、擴展性、可訪問性、持久性、規避和破壞潛力方面，都實現了相當大的跨越。

此前人們一度認為這類威脅相當罕見，但過去幾天不斷被打臉的攻擊報告，已經指向了截然不同的未來趨勢。

最后，安全社區將對 BlackLotus 惡意軟件的實際樣本展開更加細致、深入的分析，以確定傳聞的真實性、還是說它只是某人精心編造的一個騙局。