ESET พบมัลแวร์ BlackLotus ฝังตัวในเคอร์เนลหลังบูตเครื่องได้แม้เปิด Secure Boot – SMS Marketing ราคาถูกที่สุด
ทีมวิจัยของ ESET รายงานถึงมัลแวร์ BlackLotus ที่มีกลุ่มแฮกเกอร์อ้างกันว่าสามารถใช้มัลแวร์ตัวนี้ฝังไปยังเครื่องของเหยื่อได้แม้เหยื่อจะเปิด Secure Boot เพื่อป้องกันการแก้ไขเคอร์เนลก็ตามที โดยผู้พัฒนาอาศัยช่องโหว่ CVE-2022-21894 ในเคอร์เนลวินโดวส์
ความสามารถในการเจาะทะลุ Secure Boot ทำให้ BlackLotus ฝังอยู่ส่วนลึกที่สุดของซอฟต์แวร์ในเครื่อง และรันในสิทธิ์ระดับสูงมากทำให้แก้ไขเครื่องได้หลายรูปแบบ เช่น ปิดการทำงาน BitLocker และสามารถเพิ่มหรือลดสิทธิ์ของ process ต่างๆ ในเครื่องได้ในกรณีนี้ BlackLotus จะลดสิทธิ์ที่โปรแกรมป้องกันไวรัสจำเป็นต้องใช้งานเพื่อป้องกันไม่ให้ตัวเองถูกตรวจจับได้
Secure Boot เป็นกระบวนการยืนยันความถูกต้องของเฟิร์มแวร์และซอฟต์แวร์ต่างๆ ในกระบวนการบูตคอมพิวเตอร์ขึ้นมา หากซอฟต์แวร์ตัวใดถูกแก้ไขด้วยมัลแวร์ กระบวนการบูตก็จะล้มเหลวจนทำให้ผู้ใช้ต้องติดตั้งใหม่หรือกู้คืนซอฟต์แวร์เวอร์ชั่นที่ถูกต้อง ทำให้ปกติไม่สามารถฝังมัลแวร์เอาไว้ในระบบปฎิบัติการให้คงทนข้ามการบูตเครื่องได้
แฮกเกอร์ต้องเข้าถึงเครื่องได้ก่อนจึงจะติดตั้งมัลแวร์ลงไปได้ โดยตัวติดตั้งต้องการสิทธิ์ระดับ Administrator แต่เมื่อติดตั้งสำเร็จแล้วโค้ดก็จะโหลดเข้าเคอร์เนลทุกรอบหลักบูตเครื่องใหม่ จากนั้นมัลแวร์จะติดต่อเซิร์ฟเวอร์เพื่อรับคำสั่งต่อไป
ตัวมัลแวร์เริ่มประกาศขายมาตั้งแต่เดือนตุลาคม 2022 ที่ผ่านมา ยังไม่แน่ชัดว่ามีการใช้งานมากน้อยแค่ไหนฃ
ที่มา – ESET