BlackLotus
BlackLotusはUEFIファームウェアルートキットです。
こんな感じです。
- マルウェアの種別
BlackLotusはルートキットです。
このツールを使用することで実際に行おうとする悪事が発覚することを回避できる効能が実現できます。 - 組み込み場所
UEFIに組み込まれます。
UEFIはパソコンでOSが起動する際に、そのOSを起動する役割を果たすOS起動ツールです。
このOSを起動する前に動作するUEFIで、直接マルウェアを起動するイメージです。
このため、OS上で動作する防御ツールで検出することが難しいことは想像が容易です。 - 価格
犯罪フォーラムでこのBlackLotusは5000ドルで販売されています。
もし自分でこのツールを作るとすると、いくら相当の時間なり手間なりが必要でしょうか。 - 豊富な機能
統合されたセキュアブートバイパス機能があり、削除に対するRing 0/kernel保護機能が組み込まれています。
そして、アンチ仮想マシン、アンチデバッグ、マルウェア分析の試みをブロックするコード難読化機能が実装されています。
さらに、ブートキットは正当なプロセス内でSYSTEMアカウントで実行されるため、セキュリティソフトウェアはブートキットを検出して殺すことができないようになっているといいます。
Hypervisor-Protected Code Integrity(HVCI)やWindows Defenderなどの組み込みのWindowsセキュリティ保護を無効にし、ユーザーアカウント制御(UAC)をバイパスできます。 - 対応ハードウェア
このツールは特定のベンダーのハードウェアでだけ動作するモノではなく、ソフトウェア自体とセキュア ブート バイパスはベンダーに依存せずに機能します。 - 小さい
このように高機能なツールになっているのですが、このBlackLotusはそのサイズが80KBしかありません。
BlackLotusの現物はまだ確認されていません。
いまはまだ犯罪フォーラムで販売されていることが確認されているのみです。
実際にそれはもう宣伝通りに機能する状態になっているのか、今まさに実装が完了しようとしているのか、フェイクなのか、どうなのでしょう。
しかし、こういったツールが増える傾向にあることは間違いなさそうです。
Cobalt StrikeやBrute Ratelなど犯罪に多く使用されてしまっているツールがあります。
ここにBlackLotusも並んでいくことになるのでしょうか。
参考記事(外部リンク):Banks face their ‘darkest hour’ as malware steps up, maker of antivirus says
www.theregister.com/2022/10/13/blacklotus_malware_kaspersky/
