新的UEFI rootkit Black Lotus售价为5000美元

网络安全研究人员斯科特·谢弗曼报告说，一个名为”黑莲花”的新的Windows UEFI rootkit在地下犯罪论坛上公布。强大的恶意软件以5，000美元的价格出售，每新的更新支付200美元。

研究人员警告说，的这个rootkit的可用性对组织来说是一个严重威胁，因为它具有逃避和持久的能力。

  Scheferman写道：”考虑到这艘商船曾经被降级为APT，如俄罗斯GRU和APT 41 (中国连接)，并考虑到以前的犯罪发现，我们已经取得了( e.g. Trickbot的# Trickboot模块)，这代表了一个’飞跃’的前进，在易用性，可扩展性，可访问性，最重要的是，潜在的更多的影响形式的持久性，逃避和/或破坏。”

Black Lotus是用Assembly和C编写的，大小只有80kb，可以配置恶意代码，避免感染独联体地区国家的系统。

恶意软件支持反虚拟化、反调试和代码混淆。Black Lotus能够禁用安全解决方案，包括受管理程序保护的代码完整性( HVCI )、BitLocker装置加密和Windows Defender。rootkit能够绕过UAC和Secure Boot等安全防御，它能够加载用于执行各种恶意活动的无符号驱动程序。

威胁是非常隐形的，它可以实现持久性在UEFI级别与Ring 0代理保护。

  Black Lotus支持全套后门功能，它还可以用于潜在的目标IT和OT环境。

黑莲花正在为威胁图景中的恶意行为体带来APT能力。