BlackLotus マルウェアは、Windows Defender をバイパスできます。

あなたのPCを脅かす可能性があります

に ラフライ・ギラン

Rafly は、テクノロジー、ビジネス、社会、文化の分野でますます経験を積んだジャーナリストであり、ルーマニア政府の奨学金を取得しています。 彼の著書は多くの雑誌に掲載されています… 続きを読む

に公開 2023 年 3 月 2 日

2022 年 10 月の時点で Windows 11 ユーザーにとって最大の敵がいるとすれば、当時は BlackLotus でした. UEFI ブートキット マルウェアは、サイバー防御をバイパスできる唯一のマルウェアであると噂されていました.

ブラック フォーラムのハッカーは、わずか 5,000 ドルでこのツールにアクセスし、Windows デバイスのセキュア ブートを回避できます。

今、何ヶ月も恐れられてきたことが現実になっているようです. 少なくとも ESETの最新調査 アナリストのMartin Smolarによって作成されました。

近年発見された UEFI 脆弱性の数と、妥当な時間枠内で脆弱なバイナリにパッチを適用したり展開したりできなかったことは、攻撃者によって見過ごされていません. 不可欠なプラットフォーム セキュリティ機能を介して最初に公的に認められた UEFI である UEFI セキュア ブートが現実のものになりました.

デバイスを起動するときシステムとセキュリティは何よりも先に読み込まれます。 ただし、ラップトップへの悪意のあるアクセスの試みを阻止するために、BlackLotus は UEFI をターゲットにして、他の何よりも先にロードするようにします。

実際、セキュア ブート機能が有効になっている最新の Windows 11 システムで実行できます。

BlackLotus は、CVE-2022-21894 の脆弱性を介して Windows 11 を公開しました。 Microsoft の 2022 年 1 月の更新でパッチが適用されましたが、マルウェアは UEFI 失効リストに追加されていないバイナリに署名することでこれを悪用しました。

インストール時ブートキットの主な目的は、カーネル ドライバーを展開することです。 (ブートキットが削除されないように保護します) と、C&C との通信を担当し、追加のユーザーモードまたはカーネルモードのペイロードをロードできる HTTP ダウンローダーです。

Smolár はまた、ホストがルーマニア語/ロシア語 (モルドバ)、ロシア語、ウクライナ語、ベラルーシ語、アルメニア語、およびカザフスタンの言語を使用している場合、一部のインストーラーは続行しないと書いています。

この詳細は、Kaspersky の Sergey Lozhkin が闇市場でそのような値札で販売されているのを見たときに初めて登場しました。

この最新の開発についてどう思いますか? コメントでお知らせください！