BlackLotus-Malware
Es wurde bestätigt, dass eine Malware-Bedrohung, die Cybersicherheitsforscher als „fast nicht nachweisbar“ bezeichnen, in Hackerforen zum Verkauf angeboten wird. Die als BlackLotus verfolgte Malware kann die grundlegendsten Ebenen eines Computers infizieren und extrem schwierig zu entfernen sein. Tatsächlich ist es mit seinen Fähigkeiten den Bedrohungswerkzeugen ebenbürtig, die als Teil des Arsenals staatlich geförderter Hacking-Gruppen und APTs (Advanced Persistent Threats) beobachtet wurden. Offenbar könnten interessierte Cyberkriminelle für 5000 US-Dollar eine Lizenz von den Schöpfern der Bedrohung erhalten.
Infektion im niedrigsten Startzustand
BlackLotus wird als UEFI-Bootkit (Unified Extensible Firmware Interface) bezeichnet. UEFI ist eine weit verbreitete Spezifikation, die Software beschreibt, die der Erleichterung der Kommunikation zwischen dem OS (Betriebssystem) und der Firmware dient. Firmware wiederum ist die Software, die eine Low-Level-Steuerung der Hardwarekomponenten des Systems bereitstellt. UEFI ersetzte die alte Boot-Firmware des BIOS (Basic Input/Output System). Kurz gesagt, UEFI ist eines der ersten Dinge, die gestartet werden, wenn ein Computer eingeschaltet wird, und geht dem Booten des Kernels und des Betriebssystems voraus. Zu den bedrohlichen Merkmalen der BlackLotus-Malware gehören laut Verkäufer die Secure-Boot-Umgehung, RingO/Kernel-Schutz vor Entfernung und die Möglichkeit, im abgesicherten Modus zu starten.
Noch bedrohlichere Funktionen
Offensichtlich ist BlackLotus jedoch auch mit Anti-VM-, Anti-Debug- und Code-Verschleierungsfunktionen ausgestattet, um potenzielle Analyseversuche zu verhindern. Der Entwickler der Bedrohung gibt an, dass BlackLotus von Anti-Malware-Sicherheitslösungen vollständig nicht erkannt werden kann, da es versteckt in einem legitimen Prozess unter dem SYSTEM-Konto des angegriffenen Geräts ausgeführt wird. Angreifer könnten die Bedrohung auch nutzen, um mehrere Sicherheitsmechanismen zu deaktivieren, die in Windows integriert sind, wie HVCI (Hypervisor-Protected Code Integrity), UAC (User Account Control) und sogar Microsoft Defender (früher bekannt als Windows Defender).
Auch der Umgang mit BlackLotus durch Hinzufügen zur UEFI-Widerrufsfähigkeit wird keine aussagekräftigen Ergebnisse liefern, da die ausgenutzte Schwachstelle in Hunderten von Bootloadern zu finden ist, die derzeit noch verwendet werden.
