新版 Windows UEFI 根套件 Black Lotus 杀到

关键要点

Black Lotus 是一种新型的 UEFI 根套件，具备高级持久性威胁APT级别的功能。它能够禁用 Windows 安全软件，包括 Windows Defender 和 BitLocker，增强了攻击的潜在影响。该恶意软件利用反调试、反虚拟化和代码混淆能力，具备地区限制能力，仅针对独立国家联合体CIS之外的地区展开攻击。

网络安全专家 Scott Scheferman 观察到，新版 Windows UEFI 根套件 Black Lotus 正在地下论坛上被推广，具备类似于国家支持的威胁组所采用的安全软件禁用能力。根据 SecurityWeek 的报道，除了具备防止在独立国家联合体内部感染的地理围栏功能，Black Lotus 还具备反调试、反虚拟化和代码混淆的能力。此外，该恶意软件还能禁用 Windows Defender、BitLocker 和受 Hypervisor 保护的代码完整性。

Scheferman 还指出，Black Lotus 不仅能规避用户访问控制和安全启动，还可实现文件传输和任务支持，给 IT 和 OT 环境带来了巨大的安全风险。他补充道：“考虑到这种战术曾经只限于类似俄罗斯 GRU 和 APT 41与中国有关的 APTs 的使用，以及我们之前发现的犯罪技术例如 Trickbot 的 #Trickboot 模块，这代表了在易用性、可扩展性、可获取性方面的一次‘飞跃’，更重要的是，在持久性、规避和/或破坏方式的影响潜力上显著上升。”

功能描述地理围栏防止在独立国家联合体内部感染反调试防止安全软件进行调试和检测反虚拟化识别并规避虚拟机环境代码混淆混淆代码以增加被识别的难度安全软件禁用可禁用 Windows Defender 和 BitLocker

相关链接

Black Lotus 概述与分析Windows Defender 安全性漏洞

这种新型根套件的出现，标志着网络犯罪活动的一个重要转折点，值得各界密切关注。

快连电脑版