الصفحة الرئيسية>المتعلقة بالبرمجة>شفرة المصدر الأخرى
تنزيل

Blacklotus

BlackLotus هو UEFI Bootkit مبتكرة مصممة خصيصًا لنظام التشغيل Windows. إنه يشتمل على ممر حذاء آمن مدمج وحماية Ring0/kernel للحماية من أي محاولات للإزالة. يخدم هذا البرنامج الغرض من العمل كحمل HTTP. بفضل ثباته القوي ، لا توجد ضرورة لتحديثات متكررة للوكيل مع أساليب تشفير جديدة. بمجرد نشرها ، لن يكون برنامج مكافحة الفيروسات التقليدي غير قادر على مسحه وإزالته. يشتمل البرنامج على مكونين أساسيين: الوكيل ، الذي يتم تثبيته على الجهاز المستهدف ، وواجهة الويب ، التي يستخدمها المسؤولون لإدارة الروبوتات. في هذا السياق ، يشير الروبوت إلى جهاز مزود بالعامل المثبت.

FYI : قام هذا الإصدار من BlackLotus (V2) بإزالة Drop Baton ، واستبدل الإصدار الأصلي Shim Loaders مع Bootlicker. التحميل UEFI والعدوى واستمرار ما بعد الاستغلال كلها متماثلة.

عام

  • مكتوب في C و X86ASM
  • يستخدم على Windows API و NTAPI و EFIAPI (لا تستخدم مكتبات الطرف الثالث) ،
  • لا CRT (مكتبة وقت التشغيل).
  • لا يوجد حجم ثنائي بما في ذلك محمل وضع المستخدم 80 كيلو بايت فقط
  • يستخدم اتصال HTTPS C2 الآمن باستخدام تشفير RSA و AES
  • التكوين الديناميكي

سمات

  • HVCI الالتفاف
  • UAC الالتفافية
  • تأمين التمهيد الالتفافية
  • Bitlocker Boot Sequence Bypass
  • Windows Defender Bypass (تصحيح برامج تشغيل Windows Defender في الذاكرة ، ومنع محرك Windows Defender UserMode من المسح/التحميل)
  • مكالمات API Dynamic API (بوابة الجحيم)
  • x86 <=> x64 حقن العملية
  • API ربط محرك
  • محرك مكافحة الصياغة (لتعطيل وتجاوز والتحكم في EDRs)
  • نظام البرنامج المساعد المعياري

تثبيت

تنزيل وتثبيت EDK2 ، من https://github.com/tianocore/edk2
يمكن الحصول على التعليمات هنا

بعد تثبيت EDK2 ، أنت مستعد لتجميع برامج تشغيل EFI. قم بتحرير ملف config.c لتضمين اسم المضيف أو عنوان IP C2S الخاص بك. بعد ذلك ، يجب أن يكون التكامل سهلاً ، فقط احتفظ بالإعدادات المضمنة في حل Visual Studio.

بيانات اعتماد اللوحة الافتراضية:

  • المستخدم : يوكاري
  • كلمة المرور : الافتراضي

مراجع

  • WeliveSecurity: https://www.welivesecurity.com/2023/03/01/blacklotus-uefi-bootkit-myth-confird

  • binarly: https://www.binarly.io/posts/the_untold_story_of_the_blacklotus_uefi_bootkit/index.html

  • دليل التخفيف من NSA: https://www.nsa.gov/press-room/press-releases-statements/press-release-view/article/3435305/nsa-release-guide-to-mitiGate-thivate-thret-

  • thehackernews: https://thehackernews.com/2023/03/blacklotus-becomes-first-uefi-bootkit.html

  • bootlicker: https://github.com/realoriginal/bootlicker

يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل