BlackLotus, root suite UEFI baru yang membuat para peneliti keamanan khawatir

mengapa itu penting: BlackLotus disajikan di forum rahasia sebagai rootkit yang sangat kuat yang mampu menahan segala upaya penghapusan dan melewati sistem keamanan Windows paling canggih. Jika sampel malware yang sebenarnya dapat membuktikan bahwa pertunjukan itu nyata, tentu saja.

Rootkit UEFI baru yang kuat dikatakan dijual di forum rahasia, menawarkan fitur serangan lanjutan yang sebelumnya hanya tersedia untuk badan intelijen dan kelompok ancaman yang didukung negara. BlackLotus, sebagai vendor tidak dikenal yang disebut malware, adalah rootkit firmware yang dapat melewati perlindungan Windows untuk menjalankan kode berbahaya dengan loop perlindungan arsitektur x86 minimal.

Menurut peneliti keamanan yang melihat iklan BlackLotus di forum perangkat lunak kriminal, satu lisensi pengguna rootkit berharga hingga $5.000, sementara pembuatan ulang kode berikutnya “hanya” $200. Mempertimbangkan kemampuan yang terdaftar oleh penjual, bahkan menghabiskan $5000 dapat dianggap sebagai tawaran nyata bagi penjahat dunia maya dan peretas topi hitam di seluruh dunia.

Seperti yang dirangkum oleh peneliti keamanan Scott Schafferman, BlackLotus ditulis dalam Assembly dan C dan beratnya 80KB (berukuran sekitar 81.920 byte) sementara vendornya independen. Rootkit berisi fitur anti-VM, anti-debugging, dan kebingungan kode untuk mencegah atau menghalangi upaya penguraian, menyediakan “Perlindungan Proksi” tingkat kernel (cincin 0) untuk bertahan dalam firmware UEFI, dan dilengkapi dengan panduan penginstalan berfitur lengkap dan FAQ.

Seperti rootkit yang sesuai, BlackLotus dimuat pada tahap awal proses boot sebelum tahap startup Windows. Malware tersebut diduga dapat melewati banyak perlindungan keamanan Windows termasuk Boot Aman, UAC, BitLocker, HVCI, dan Windows Defender, sambil memberikan kemampuan untuk memuat driver yang tidak ditandatangani. Fitur canggih lainnya dari malware ini termasuk mode transfer file berfitur lengkap, dan “bootloader bertanda tangan lemah” yang tidak dapat dinonaktifkan tanpa memengaruhi ratusan bootloader yang masih digunakan hingga saat ini.

Scott Shefferman menyoroti bahaya yang dapat ditimbulkan BlackLotus terhadap keamanan berbasis firmware modern, yang sebelumnya membuat tingkat ancaman hanya tersedia untuk Advanced Persistent Threats (APTs) oleh kelompok yang disponsori negara seperti GRU Rusia atau APT 41 China tersedia bagi siapa saja. UEFI Root Toolkit baru dapat mewakili lompatan nyata untuk kejahatan dunia maya dalam hal kemudahan penggunaan, skalabilitas, aksesibilitas, kegigihan, penghindaran, dan penghancuran.

Rootkit UEFI pernah dianggap sebagai ancaman yang sangat langka dan khusus, tetapi beberapa penemuan dalam beberapa tahun terakhir telah menunjukkan skenario yang sama sekali berbeda. Untuk BlackLotus, komunitas keamanan perlu menganalisis sampel sebenarnya dari malware untuk menentukan apakah fitur yang diiklankan itu nyata, apakah sudah siap produksi, atau hanya penipuan terperinci.