نشر باحثو شركة ESET التحليل الأول لمجموعة تمهيد UEFI القادرة على تجاوز UEFI Secure Boot، وهي ميزة أمان مهمة لنظام Windows. سيكون لهذا التهديد اسم بالفعل: BlackLotus.

BlackLotus، مجموعة تمهيد UEFI تُباع في منتديات القرصنة بحوالي 5000 دولار، ربما يسمح لك الآن بتجاوز Secure Boot ofويندوز 11(أو Secure Boot، بالفرنسية)، مما يجعلها أول برنامج ضار معروف يتم تشغيله على أنظمة Windows حتى إذا تم تمكين ميزة أمان البرنامج الثابت.
على سبيل التذكير،UEFI تعني واجهة البرامج الثابتة الموحدة القابلة للتوسيع، وهذا هوخليفة البرامج الثابتة BIOS التقليدية(نظام الإدخال / الإخراج الأساسي). من جانبه، تم تصميم Secure Boot من أجلتأكد من أن النظام لا يعمل إلا باستخدام البرامج الثابتة والبرامج الموثوقة.Bootkit، من ناحية أخرى، هوالبرامج الضارة التي تصيب عملية بدء تشغيل الكمبيوتر.
أصبح BlackLotus واحدًا من أخطر البرامج الضارة في العالم
تعد مجموعات تمهيد UEFI بمثابة تهديدات قوية جدًا تتحكم بشكل كامل في عملية تمهيد نظام التشغيل وبالتالي فهي قادرة على ذلكتعطيل آليات أمان نظام التشغيل المختلفةونشر الحمولات الخاصة بهم في وضع kernel أو وضع المستخدم في المراحل الأولى من تشغيل جهاز الكمبيوتر الخاص بك. وهذا يسمح لهم بذلكتعمل بشكل خفي للغاية وبامتيازات مرتفعة. وحتى الآن، لم يتم اكتشاف سوى عدد قليل منها في البرية ووصفها علنًا.
يمكن لـ BlackLotus على وجه الخصوصتعطيل آليات أمان نظام التشغيل مثل BitLocker وHVCI وWindows Defender.بمجرد التثبيت، يكون الغرض الرئيسي من مجموعة أدوات التشغيل هو نشر برنامج تشغيل kernel (الذي، من بين أمور أخرى، يحمي مجموعة أدوات التشغيل من الحذف) وأداة تنزيل HTTP المسؤولة عن الاتصال بخادم الأوامر والتحكم وقادرة على تحميل الحمولات وميزات مفيدة إضافية في وضع المستخدم أو وضع النواة.

اقرأ أيضا-يقوم المتسللون حاليًا بتنفيذ هجوم دولي، قم بتحديث هذا البرنامج بسرعة
ستكون BlackLotus نشطة للغاية في أوروبا الشرقية
لكي يعمل، سوف يستغل BlackLotus ثغرة أمنية عمرها أكثر من عام، CVE-2022-21894، لتجاوز عملية التمهيد الآمنة وتحقيق الثبات.وكانت مايكروسوفت قد قامت بتصحيح ذلك في يناير 2022، ولكننا نسينا إضافة الثنائيات المتأثرة إلى قائمة إبطال UEFI.
تمت برمجة BlackLotus بلغة التجميع ولغة C ويبلغ حجمه 80 كيلو بايت، وقد تم استخدامه بالفعل لإصابة أجهزة الكمبيوتر الشخصية في أرمينيا وبيلاروسيا وكازاخستان ومولدوفا ورومانيا وروسيا وأوكرانيا. ومن جانبنا، دعونا نتذكر ذلكفرنسا هي الدولة الخامسة الأكثر استهدافًا ببعض الهجمات الإلكترونية.
ظهرت التفاصيل الأولى حول BlackLotus في أكتوبر 2022. ووصفه سيرجي لوزكين، الباحث الأمني في Kaspersky، بأنه برنامج إجرامي متطور. في الوقت الحالي، تؤمن ESET بذلكلم يتم استخدام البرامج الضارة من قبل العديد من المتسللينمما قد يسهل القضاء عليه.
كيفية القضاء على BlackLotus من أجهزة الكمبيوتر المصابة؟
على الرغم من أن BlackLotus متخفي ولديه العديد من وسائل الحماية ضد الحذف، يعتقد باحثو ESET أنهم اكتشفوا نقطة ضعف في الطريقة التي يقوم بها برنامج تنزيل HTTP بتمرير الأوامر إلى برنامج تشغيل kernel، مما قد يسمح للمستخدمين بإزالة مجموعة أدوات التشغيل.
«في حالة رغبة برنامج تنزيل HTTP في تمرير أمر إلى برنامج تشغيل kernel، فإنه ببساطة يقوم بإنشاء قسم مسمى، ويكتب أمرًا يحتوي على البيانات المرتبطة بداخله، وينتظر حتى تتم معالجة الأمر بواسطة برنامج التشغيل عن طريق إنشاء حدث مسمى وانتظار الطيار لتشغيله (أو الإشارة إليه)"، أوضح إسيت.
لذا،يدعم برنامج تشغيل kernel أوامر التثبيت وإلغاء التثبيتوآخر «يمكن خداعه لإلغاء تثبيت مجموعة أدوات التشغيل بالكامل عن طريق إنشاء الكائنات المسماة المذكورة أعلاه وإرسال أمر إلغاء التثبيت».
تعلن ESET بالفعل أن التحديث البسيط لقائمة إبطال UEFI من شأنه أن يخفف من التهديد الذي يشكله BlackLotus، لكنه لن يزيل مجموعة أدوات التشغيل من الأنظمة المصابة. من أجل ذلك،ستكون هناك حاجة إلى تثبيت جديد لنظام التشغيل Windows، بالإضافة إلى حذف مفتاح MOK الذي حفظه المهاجمون(باستخدام الأداة المساعدة mokutil، على سبيل المثال).
«أفضل نصيحة، بالطبع، هي الحفاظ على تحديث نظامك ومنتج الأمان الخاص به لزيادة فرص إيقاف التهديد مبكرًا، قبل أن يتمكن من الوصول إلى أنظمة ما قبل نظام التشغيل."، يختتم سمولار، باحث ESET.
اسأل عن أحدث لدينا!
سيقدم هاتف Galaxy S25s أخيرًا تحديثات دون انقطاع، وإليك الطريقة
من المقرر أن تقدم سامسونج تحديثات سلسة مع سلسلة Galaxy S25. سيؤدي هذا الابتكار الذي طال انتظاره إلى تبسيط عملية تثبيت إصدارات البرامج الجديدة وينبغي أن يجذب المستخدمين الأكثر تطلبًا. سلسلة هواتف Galaxy S25 المكونة من طرازات S25…
سامسونج
سوف تتظاهر روبوتات الذكاء الاصطناعي الموجودة على فيسبوك بأنها مستخدمين حقيقيين
تخطط ميتا لتقديم روبوتات الذكاء الاصطناعي التي يمكنها محاكاة التفاعلات البشرية على فيسبوك. وتأمل الشركة في تعزيز تفاعل المستخدمين، لكن يخشى البعض من أن تؤدي هذه الحسابات المصطنعة إلى إضعاف صحة التبادلات على المنصة. لعدة سنوات، ميتا…
الشبكات الاجتماعية
GTA 6: تاريخ الإصدار والسعر والمنصات... كل المعلومات
لعبة GTA 6 أصبحت رسمية! بعد سنوات وسنوات من الانتظار والتسريبات والتكهنات، قررت شركة Rockstar أخيرًا الإعلان عن لعبتها، وفي هذا الملف سنتعرف على ما يجب معرفته…
الألعاب
iPhone: معرف الوجه لا يعمل؟ جرب هذه الحلول
إذا كان نظام التعرف على الوجه في جهاز iPhone الخاص بك يعمل بشكل جيد، فإليك العديد من النصائح لتشغيله مرة أخرى. سيتوقف Face ID أخيرًا عن مقاومتك. اتبع القائد ! يعد التعرف على الوجه على iPhone أمرًا عمليًا. فتح الجهاز، الوصول...
كيف يعمل
جهاز M3 MacBook Air مقاس 13 بوصة فائق الشحن أرخص بـ 350 يورو، سريعًا!
لإنهاء عام 2024 بشكل جيد، تقدم لنا Darty عرضًا استثنائيًا على جهاز MacBook Air مقاس 13 بوصة مع شريحة M3 القوية وتكوين معزز مع ما لا يقل عن 24 جيجابايت من ذاكرة الوصول العشوائي! أنت…
علوم الكمبيوتر
GTA 6 ستكون أجمل بكثير مما كان متوقعا، مقطع دعائي "جديد" يثبت ذلك
اكتشف مستخدمو الإنترنت إصدارًا آخر من العرض الترويجي الأول للعبة GTA 6. بجودة أعلى بكثير من تلك التي شاهدها الجميع تقريبًا، فهي تعرض تفاصيل رسومية كانت غير مرئية من قبل. بالفعل سنة. سنة واحدة…
ألعاب الفيديو
أفضل أجهزة سامسونج اللوحية: أي جهاز لوحي تختاره في عام 2025؟
هل تريد شراء جهاز لوحي جديد؟ تقدم سامسونج مجموعة واسعة من الطرز بدءًا من الأجهزة اللوحية ذات المستوى المبتدئ وحتى الأجهزة اللوحية المتميزة. في مواجهة جميع الإصدارات المتاحة، فإن اتخاذ القرار الصحيح ليس بالأمر السهل بالضرورة. اكتشف في هذا…
أدلة شراء الكمبيوتر
Edge 50 Neo: هاتف موتورولا الذكي بسعر ممتاز في أمازون
يعد الهاتف الذكي الذي يحمل علامة Motorola موضوعًا للكثير من العروض المتاحة على Amazon. حاليًا، يصل سعر Edge 50 Neo تقريبًا إلى 305 يورو. انقر هنا للاستفادة من هذه الصفقة الجيدة خلال الساعات الأخيرة من ...
الهاتف الذكي
SFR: تم فرض رسوم زائدة على هذه المرأة بعد عملية احتيال، وطلب منها عامل الهاتف الدفع على أي حال
ضحية عملية احتيال من نوع التصيد الاحتيالي، خسر أحد عملاء SFR عدة مئات من اليورو. واعترف عامل الهاتف بالاحتيال، لكنه طلب منه دفع المبالغ المأخوذة. في صباح يوم 20 ديسمبر/كانون الأول، فوجئت كلوديت، 75 عاماً، بنغمة رنين تقولها...
SFR-ألتيس
إن SSD من Huawei بسعر صادم سيهز المنافسة
تتعامل شركة Huawei مع سوق التخزين باستخدام SSD للمستهلك بسعر لا يهزم. أداء قوي وسعر منخفض، يمكن لهذا المنتج أن يغير عادات المستخدم ويثير قلق المنافسة. هواوي تواصل توسعها في…
الأجهزة