Wie man einen Computer in nur 80 KB besitzt
BlackLotus war letztes Jahr in den Nachrichten, nachdem einige Kuriositäten entdeckt und an VirusTotal übermittelt wurden. Diese ersten Erkennungen und weitere verdächtige Aktivitäten, die ESET gemeldet wurden, deuteten darauf hin, dass dies etwas Neues war. Die Infektion schien außergewöhnlich widerstandsfähig zu sein, überstand Reimaging, Festplattenaustausch und Umgehung von UEFI Secure Boot. Die Experten brauchten einige Zeit, um BlackLotus zu enträtseln und genau festzustellen, was vor sich ging, aber sie hatten schließlich Erfolg und die Nachrichten sind nicht gut.
BlackLotus infiziert das UEFI Ihres Motherboards, genauer gesagt die EFI-Systempartition, die es ist nicht durch dieselben Sicherheitsfunktionen geschützt, die sich auf dem SPI-Chip befinden, den Sie jedes Mal aktualisieren, wenn Sie auf ein neues BIOS flashen. Dadurch kann die Infektion geladen werden, bevor Secure Boot oder andere Sicherheitsfunktionen auf Ihrer Hardware ausgeführt werden können, was Zeit für einen fiesen Trick gibt. Die Malware registriert ihren eigenen Maschinenbesitzerschlüssel als gültig, in Kombination mit einem von verschiedenen Linux-Distributoren signierten Shim-Loader. An diesem Punkt startet jeder Neustart das Bootkit, um sicherzustellen, dass die Angreifer immer noch in der Lage sind, alle Infektionen einzuschleusen, die Ihr Antivirus entfernen kann.
Das ist die wirkliche Verwendung von BlackLotus, die Fähigkeit, eine Maschine dauerhaft zu rendern anfällig für andere Malware-Angriffe, indem Sie Administratorzugriff auf Prozesse gewähren, um andere Systemschwachstellen auf Ihrem System auszunutzen. Es gibt nichts, was Sie tun können, um es zu entfernen, wenn Sie infiziert wurden, außer Ihr Motherboard wegzuwerfen. Wenn Sie Ihr System jedoch mit Patches auf dem neuesten Stand halten, werden sekundäre Infektionen begrenzt, die vor den sekundären Infektionen schützen, die BlackLotus versucht, auf Ihr System zu laden.
