Angeblich ist eine seltene neue Art von Malware auf dem Schwarzmarkt erhältlich, die Funktionen enthält, die normalerweise staatlichen Hacking-Tools vorbehalten sind und die Erkennung durch Antivirensoftware praktisch unmöglich machen.
Die als BlackLotus bekannte Malware soll ein Unified Extensible Firmware Interface (UEFI) Bootkit sein. UEFI ist der Computerstandard, der als Schnittstelle zwischen dem Betriebssystem und der Firmware dient; Wenn Sie Ihren Computer einschalten, startet UEFI einen Bootloader, der wiederum den Kernel und das Betriebssystem startet.
Beim Laden im anfänglichen Startzustand bettet sich die Malware in die Firmware eines Systems ein, wodurch sie alle Sicherheitskontrollen der Antivirensoftware umgehen und somit unentdeckt bleiben kann.
schwere Funktionen
In einem Online-Malware-Forum, in dem angeblich BlackLotus-Lizenzen für jeweils 5,000 Euro verkauft werden, behauptet der Anbieter, dass selbst Safe Boot das Tool nicht ausbremst, da ein anfälliger Bootloader verwendet wird. Darüber hinaus stellten sie fest, dass das Hinzufügen dieses Bootloaders zur UEFI-Widerrufsliste (wird in einem neuen Tab geöffnet) das Problem nicht beheben würde, da es derzeit Hunderte anderer mit derselben Schwachstelle gibt, die stattdessen verwendet werden können.
Ein weiteres Attribut, das BlackLotus so potenziell gefährlich macht, ist sein offensichtlicher Ring 0/Kernel-Schutz. Computer funktionieren durch Schutzringe, die das System basierend auf ihrer kritischen Bedeutung für den Betrieb der Maschine auf verschiedenen Ebenen unterteilen, um zu verhindern, dass potenzielle Bedrohungen und Fehler an anderer Stelle durchsickern.
Der Zugang durch diese Ringe wird immer schwieriger. Sein Herzstück ist Ring 0, der den Kernel enthält: Er verbindet Ihre Software mit Ihrer Hardware. Dieser Ring stellt das höchste Schutzniveau in Bezug auf den Zugriff dar. Wenn BlackLotus also über Ring 0-Schutz verfügt, wäre es äußerst schwierig, ihn loszuwerden.
Der Anbieter behauptete auch, dass BlackLotus die Fähigkeit hat, Windows Defender zu deaktivieren und mit Anti-Debugging ausgestattet ist, um die Erkennung durch Malware-Scans zu verhindern.
Es liegt nicht mehr in der Hand des Staates
Experten warnen, dass Malware im BlackLotus-Maßstab nicht mehr in die ausschließliche Zuständigkeit von Regierungen und Staaten fällt. Sergey Lozhkin, leitender Sicherheitsforscher bei Kaspersky, sagte (öffnet in neuem Tab): „Früher waren diese Bedrohungen und Technologien nur den Leuten zugänglich, die fortgeschrittene persistente Bedrohungen entwickeln, hauptsächlich Regierungen. Heute sind diese Art von Tools in den Händen von.“ Kriminelle in den Foren".
Letztes Jahr wurde ein weiteres UEFI-Bootkit namens ESPecter entdeckt, das anscheinend vor mindestens 10 Jahren für die Verwendung in System-BIOS, dem Vorläufer von UEFI, entwickelt wurde. Ihre Verfügbarkeit außerhalb staatlicher Gruppen bleibt zumindest vorerst sehr selten.
Ein anderer Sicherheitsexperte, Eclypsium CTO Scott Schefman, versuchte die Bedenken zu zerstreuen, indem er sagte, dass sie sich der angeblichen Behauptungen von BlackLotus immer noch nicht sicher sein könnten, und sagte, dass dies zwar einen Fortschritt in Bezug auf den einfachen Zugang zu solch leistungsstarken Tools darstellen könnte, aber möglicherweise immer noch in frühen Produktionsphasen und funktionieren möglicherweise nicht so effizient wie behauptet.
In jedem Fall geht der Fortschritt in der Welt der Cyberkriminellen sehr schnell voran, und wenn Gewinne aus der Produktion und Verwendung solch mächtiger Malware erzielt werden können, wird es keinen Mangel an Nachfrage für ihre Entwicklung und Verbesserung geben. Sobald die Katze aus dem Sack ist, ist es sehr schwierig, sie wieder hineinzustecken.