Ring 0级固件威胁：新型UEFI rootkit恶意软件BlackLotus曝光

“防护环”示意（图自：Wikipedia / Hertzsprung）

卖家宣称 BlackLotus 是一款固件级 rootkit 恶意软件，能够绕过 Windows 防护措施、并在 x86 架构的最底层运行恶意代码。

率先曝光此事的安全研究人员指出，单个 rootkit 的许可证费用高达 5000 美元，而后续代码重建则只需 200 美元。

不过考虑到卖家罗列出来的功能，即使需要耗费重资，世界各地的网络犯罪分子和黑帽黑客也会趋之若鹜。

Scott Scheferman 总结道：

BlackLotus 采用了汇编与 C 语言编写，体量仅 80KB（约 81920 字节）。

通过在内核级别（ring 0）提供‘代理防护’（agent protection），该 rootkit 能够在 UEFI 固件中长期驻留。

此外 BlackLotus 具有反虚拟机、反调试和代码混淆功能，以阻碍研究人员对其展开分析尝试，且附带功能齐备的安装指南 / 常见问题解答。

黑市叫卖帖

与同类 rootkit 一样，BlackLotus 能够在 Windows 启动前的第一阶段被加载，因而能够绕过 Windows / x86 平台上的诸多安全防护措施。

除了无视 Secure Boot、UAC、BitLocker、HVCI 和 Windows Defender，该恶意软件还提供了加载未签名驱动程序的能力。

其它高级功能包括功能齐备的文件传输模式、以及易攻破的签名引导加载程序 —— 除非影响当今仍在使用的数百个引导加载程序，否则很难将它斩草除根。

Scott Scheferman 还强调了 BlackLotus 可能对基于固件的现代安全防护机制构成威胁。

而且新 UEFI rootkit 在易用性、扩展性、可访问性、持久性、规避和破坏潜力方面，都实现了相当大的跨越。

此前人们一度认为这类威胁相当罕见，但过去几天不断被打脸的攻击报告，已经指向了截然不同的未来趋势。

最后，安全社区将对 BlackLotus 恶意软件的实际样本展开更加细致、深入的分析，以确定传闻的真实性、还是说它只是某人精心编造的一个骗局。