BlackLotus マルウェア

サイバーセキュリティの研究者が「ほとんど検出できない」と表現しているマルウェアの脅威が、ハッカー フォーラムで売りに出されていることが確認されました。 BlackLotus として追跡されているこのマルウェアは、コンピューターの最も基本的なレベルに感染する可能性があり、削除が非常に困難になります。実際、その機能は、国家が支援するハッキング グループや APT (Advanced Persistent Threat) の武器庫の一部として観測された脅威ツールと同等のものです。どうやら、関心のあるサイバー犯罪者は、脅威の作成者から 5000 ドルでライセンスを取得できるようです。

最低ブート状態での感染

BlackLotus は、UEFI (Unified Extensible Firmware Interface) ブートキットとして説明されています。 UEFI は、OS (オペレーティング システム) とファームウェア間の通信を促進する専用のソフトウェアを記述する、広く使用されている仕様です。一方、ファームウェアは、システムのハードウェア コンポーネントの低レベルの制御を提供するソフトウェアです。 UEFI は、従来の BIOS (Basic Input/Output System) ブート ファームウェアに取って代わりました。つまり、UEFI は、コンピューターの電源を入れたときに最初に起動し、カーネルと OS の起動に先行するものの 1 つです。売り手によると、BlackLotus マルウェアの脅威的な機能には、セキュア ブート バイパス、削除に対する RingO/カーネル保護、およびセーフ モードでの起動機能が含まれます。

さらに脅威的な機能

ただし、BlackLotus には、潜在的な分析の試みを防ぐために、アンチ VM、アンチデバッグ、およびコードの難読化機能も搭載されているようです。この脅威の開発者は、BlackLotus は侵害されたデバイスの SYSTEM アカウントの正当なプロセス内に隠されているため、マルウェア対策セキュリティ ソリューションによって完全に検出できないと述べています。また、攻撃者はこの脅威を利用して、HVCI (ハイパーバイザーで保護されたコードの整合性)、UAC (ユーザー アカウント制御)、さらには Microsoft Defender (以前は Windows Defender と呼ばれていた) など、Windows に組み込まれているいくつかのセキュリティ保護を無効にする可能性があります。

BlackLotus を UEFI 失効機能に追加して対処しても、意味のある結果は得られません。悪用された脆弱性は、現在も使用されている何百ものブートローダーで見つかる可能性があるためです。