如何擁有一台只有 80kb 的計算機
BlackLotus 去年登上了新聞,在檢測到一些異常情況並將其提交給 VirusTotal 之後。向 ESET 報告的那些初步檢測和進一步的可疑活動表明這是新事物。感染似乎異常有彈性,在重新映像、硬盤驅動器更換和逃避 UEFI 安全啟動時倖存下來。專家們花了一些時間來解開 BlackLotus 並確定到底在做什麼,但他們終於成功了,但消息並不好。
BlackLotus 感染了您主板的 UEFI,更具體地說是 EFI 系統分區,它是不受每次刷新到新 BIOS 時更新的 SPI 芯片上的相同安全功能的保護。這允許感染在安全啟動或硬件上的任何其他安全功能可以之前加載,從而有時間採取令人討厭的伎倆。該惡意軟件將其自己的機器所有者密鑰註冊為有效密鑰,並結合由各種 Linux 發行商簽名的 shim 加載程序。那時,每次重新啟動都會啟動 bootkit,確保攻擊者仍然能夠加載您的防病毒軟件設法刪除的任何感染。
這就是 BlackLotus 的真正用途,即永久呈現機器的能力通過授予管理員對進程的訪問權限以利用系統上存在的任何其他系統漏洞,容易受到其他惡意軟件攻擊。如果您已被感染,除了扔掉主板外,您無能為力。但是,使用補丁使您的系統保持最新將限制二次感染,這將防止 BlackLotus 試圖加載到您的系統的二次感染。
如果你想嚇唬自己,請閱讀 Ars Technica 的完整故事,他們深入研究了這個新鮮地獄的技術方面。