▶Herramienta de piratería ‘casi indetectable’ a la venta en foro de malware

การเปรียบเทียบ
บทเรียน
'เกือบตรวจไม่พบ' เครื่องมือแฮ็กสำหรับขายในฟอรัมมัลแวร์

'เกือบตรวจไม่พบ' เครื่องมือแฮ็กสำหรับขายในฟอรัมมัลแวร์

น่าจะเป็นมัลแวร์ประเภทใหม่ที่หาได้ยากในตลาดมืด ซึ่งมีคุณลักษณะที่ปกติแล้วสงวนไว้สำหรับเครื่องมือแฮ็กที่ดำเนินการโดยรัฐ ซึ่งทำให้ซอฟต์แวร์ป้องกันไวรัสใดๆ ไม่สามารถตรวจจับได้

รู้จักในชื่อ BlackLotus มัลแวร์อ้างว่าเป็นชุดบูต Unified Extensible Firmware Interface (UEFI) UEFI เป็นมาตรฐานการคำนวณที่ทำหน้าที่เป็นอินเทอร์เฟซระหว่างระบบปฏิบัติการและเฟิร์มแวร์ เมื่อคุณเปิดคอมพิวเตอร์ UEFI จะเริ่ม bootloader ซึ่งจะเริ่มต้นเคอร์เนลและระบบปฏิบัติการ

เมื่อโหลดเข้าสู่สถานะบูตเริ่มต้น มัลแวร์จะฝังตัวเองลงในเฟิร์มแวร์ของระบบ ทำให้สามารถข้ามการตรวจสอบความปลอดภัยของซอฟต์แวร์ป้องกันไวรัสทั้งหมด และยังคงตรวจไม่พบ

คุณสมบัติหนัก

ในฟอรัมมัลแวร์ออนไลน์ที่เห็นได้ชัดว่าใบอนุญาต BlackLotus ขายในราคา 5,000 ยูโรต่อใบ ผู้จำหน่ายอ้างว่าแม้ Safe Boot จะไม่ขัดขวางเครื่องมือนี้ เนื่องจากมีการใช้โปรแกรมโหลดบูตที่มีช่องโหว่ พวกเขาตั้งข้อสังเกตเพิ่มเติมว่าการเพิ่ม bootloader นี้ในรายการเพิกถอน UEFI (เปิดในแท็บใหม่) จะไม่สามารถแก้ไขปัญหาได้ เนื่องจากปัจจุบันมีช่องโหว่อื่นอีกหลายร้อยรายการที่มีช่องโหว่เดียวกันที่สามารถใช้แทนได้

คุณลักษณะอื่นที่ทำให้ BlackLotus เป็นอันตรายอย่างมากคือการป้องกัน Ring 0/kernel ที่เห็นได้ชัด คอมพิวเตอร์ทำงานผ่านวงแหวนแห่งการป้องกันที่แบ่งระบบออกเป็นระดับต่างๆ โดยขึ้นอยู่กับความสำคัญพื้นฐานสำหรับการทำงานของเครื่อง เพื่อป้องกันภัยคุกคามที่อาจเกิดขึ้นและความล้มเหลวไม่ให้รั่วไหลไปยังบุคคลอื่น

การเข้าถึงผ่านวงแหวนเหล่านี้ยากขึ้นเรื่อยๆ หัวใจของมันคือ Ring 0 ซึ่งมีเคอร์เนล: เป็นสิ่งที่เชื่อมต่อซอฟต์แวร์ของคุณกับฮาร์ดแวร์ของคุณ วงแหวนนี้แสดงถึงระดับการป้องกันสูงสุดในแง่ของการเข้าถึง ดังนั้นหาก BlackLotus มีการป้องกันวงแหวน 0 ก็คงเป็นเรื่องยากมากที่จะกำจัด

ผู้ขายยังอ้างว่า BlackLotus มีความสามารถในการปิดใช้งาน Windows Defender และมาพร้อมกับการต่อต้านการดีบั๊กเพื่อป้องกันการตรวจจับจากการสแกนมัลแวร์

มันไม่ได้อยู่ในมือของรัฐอีกต่อไป

Los expertos advierten que el malware a escala BlackLotus ya no es jurisdicción exclusiva de los gobiernos y estados. Sergey Lozhkin, investigador principal de seguridad de Kaspersky, dijo (se abre en una pestaña nueva): "Anteriormente, estas amenazas y tecnologías solo eran accesibles para los tipos que desarrollan amenazas persistentes avanzadas, principalmente los gobiernos. Hoy en día, este tipo de herramientas están en manos de criminales en los foros".

ปีที่แล้ว มีการค้นพบบูทคิท UEFI อีกชุดหนึ่งที่เรียกว่า ESPecter ซึ่งเห็นได้ชัดว่าได้รับการออกแบบมาอย่างน้อย 10 ปีที่แล้วสำหรับใช้ในระบบ BIOS ซึ่งเป็นสารตั้งต้นของ UEFI ความพร้อมใช้งานนอกกลุ่มสถานะยังคงหายากมาก อย่างน้อยก็ในตอนนี้

ผู้เชี่ยวชาญด้านความปลอดภัยอีกคนคือ Scott Scheferman ซีทีโอของ Eclypsium พยายามระงับข้อกังวลโดยกล่าวว่าพวกเขายังไม่แน่ใจเกี่ยวกับคำกล่าวอ้างที่ถูกกล่าวหาของ BlackLotus โดยกล่าวว่าแม้ว่ามันอาจแสดงถึงความก้าวหน้าในแง่ของความสะดวกในการเข้าถึงเครื่องมือที่ทรงพลังดังกล่าว แต่ก็อาจ ยังอยู่ในช่วงเริ่มต้นของการผลิตและทำงานได้ไม่เต็มประสิทธิภาพตามที่กล่าวอ้าง

ไม่ว่าจะด้วยวิธีใด ความก้าวหน้ากำลังดำเนินไปอย่างรวดเร็วในโลกของอาชญากรไซเบอร์ และหากสามารถสร้างผลกำไรจากการผลิตและการใช้มัลแวร์ที่ทรงพลังเช่นนี้ได้ ก็จะมีความต้องการในการพัฒนาและปรับปรุงไม่ขาด เมื่อแมวออกจากถุงแล้ว การใส่กลับเข้าไปใหม่ทำได้ยากมาก

'เกือบตรวจไม่พบ' เครื่องมือแฮ็กสำหรับขายในฟอรัมมัลแวร์

คุณสมบัติหนัก (adsbygoogle = window.adsbygoogle || []).push({});

มันไม่ได้อยู่ในมือของรัฐอีกต่อไป (adsbygoogle = window.adsbygoogle || []).push({});

คุณสมบัติหนัก

มันไม่ได้อยู่ในมือของรัฐอีกต่อไป