最近引發廣泛討論的“BlackLotus”，屬於一款相當全能的固件級rootkit 惡意軟件。特點是能夠躲過各種刪除操作，以及繞過先進的Windows 防護措施。此前這類高級攻擊能力，僅被擁有深厚背景的機構所擁有，比如情報威脅組織。然而據報導，一款更新、更強大的UEFT rootkit，正被人掛到暗網論壇上叫賣。

“防護環”示意（圖自：Wikipedia / Hertzsprung）

賣家宣稱BlackLotus 是一款固件級rootkit 惡意軟件，能夠繞過Windows防護措施、並在x86 架構的最底層運行惡意代碼。

率先曝光此事的安全研究人員指出，單個rootkit 的許可證費用高達5000 美元，而後續代碼重建則只需200 美元。

不過考慮到賣家羅列出來的功能，即使需要耗費重資，世界各地的網絡犯罪分子和黑帽黑客也會趨之若鶩。

Scott Scheferman 總結道：

BlackLotus 採用了彙編與C 語言編寫，體量僅80KB（約81920 字節）。

通過在內核級別（ring 0）提供’代理防護’（agent protection），該rootkit 能夠在UEFI 固件中長期駐留。

此外BlackLotus 具有反虛擬機、反調試和代碼混淆功能，以阻礙研究人員對其展開分析嘗試，且附帶功能齊備的安裝指南/ 常見問題解答。

黑市叫賣帖

與同類rootkit 一樣，BlackLotus 能夠在Windows 啟動前的第一階段被加載，因而能夠繞過Windows / x86 平台上的諸多安全防護措施。

除了無視Secure Boot、UAC、BitLocker、HVCI 和Windows Defender，該惡意軟件還提供了加載未簽名驅動程序的能力。

其它高級功能包括功能齊備的文件傳輸模式、以及易攻破的簽名引導加載程序—— 除非影響當今仍在使用的數百個引導加載程序，否則很難將它斬草除根。

Scott Scheferman 還強調了BlackLotus 可能對基於固件的現代安全防護機制構成威脅。

而且新UEFI rootkit 在易用性、擴展性、可訪問性、持久性、規避和破壞潛力方面，都實現了相當大的跨越。

此前人們一度認為這類威脅相當罕見，但過去幾天不斷被打臉的攻擊報告，已經指向了截然不同的未來趨勢。

最後，安全社區將對BlackLotus 惡意軟件的實際樣本展開更加細緻、深入的分析，以確定傳聞的真實性、還是說它只是某人精心編造的一個騙局。