На форуме вредоносных программ выставлен на продажу «почти необнаруживаемый» хакерский инструмент

На черном рынке появился новый и редкий тип вредоносных программ, содержащий функции, обычно зарезервированные для хакерских инструментов, используемых государствами. Они делают зловред практически невозможным обнаружение любым антивирусным программным обеспечением.

На форуме вредоносных программ выставлен на продажу «почти необнаруживаемый» хакерский инструмент. Фото: СС0

Утверждается, что вредоносное ПО BlackLotus, представляет собой буткит Unified Extensible Firmware Interface (UEFI). UEFI — это стандарт вычислений, выступающий в роли интерфейса между операционной системой и прошивкой; когда вы включаете компьютер, UEFI запускает загрузчик, который, в свою очередь, загружает ядро и операционную систему.

При начальной загрузке, вредоносное ПО встраивается в прошивку системы, позволяя ему обходить все проверки безопасности антивирусным программным обеспечением и, таким образом, оставаться незамеченным.

На онлайн-форуме вредоносных программ лицензии BlackLotus продаются по 5 тыс. $ каждая. Продавец утверждает, что даже безопасная загрузка не помешает работе инструмента, поскольку используется уязвимый загрузчик. Он также отметил, что добавление этого загрузчика в список отзыва UEFI не решит проблему, поскольку в настоящее время существуют сотни других загрузчиков с такой же уязвимостью, которую можно использовать вместо него.

Еще одним атрибутом, который делает BlackLotus настолько потенциально опасным, является очевидная защита Ring 0/ядра. Компьютеры работают с использованием защитных колец, которые делят систему на разные уровни в зависимости от того, насколько они важны для работы машины, чтобы предотвратить утечку потенциальных угроз и неисправностей в другие части.

Получить доступ через эти кольца становится все труднее. В основе лежит кольцо 0, содержащее ядро: это то, что соединяет ваше программное обеспечение с вашим оборудованием. Это кольцо представляет собой наивысший уровень защиты с точки зрения доступа, поэтому, если BlackLotus действительно имеет защиту кольца 0, избавиться от него будет крайне сложно.

Продавец также заявил, что BlackLotus имеет возможность отключить Защитника Windows и поставляется с анти-отладкой для предотвращения обнаружения при сканировании вредоносных программ.

Эксперты предупреждают, что вредоносное ПО масштаба BlackLotus больше не является исключительной прерогативой правительств, заявил Сергей Ложкин, ведущий исследователь безопасности «Лаборатории Касперского».

Из сообщения ведущего исследователя безопасности «Лаборатории Касперского « Сергея Ложкина:

«Раньше эти угрозы и технологии были доступны только специалистам, которые разрабатывали продвинутые постоянные угрозы, в основном в правительствах. Теперь такие инструменты находятся в руках преступников на всех форумах».

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме