BlackLotus
1.0.0
BlackLotus es un innovador UEFI Bootkit diseñado específicamente para Windows. Incorpora un bypass de arranque seguro incorporado y una protección de Kernel Ring0/Kernel para proteger contra cualquier intento de eliminación. Este software tiene el propósito de funcionar como un cargador HTTP. Gracias a su robusta persistencia, no hay necesidad de actualizaciones frecuentes del agente con nuevos métodos de cifrado. Una vez implementado, el software antivirus tradicional será incapaz de escanear y eliminarlo. El software comprende dos componentes principales: el agente, que está instalado en el dispositivo dirigido, y la interfaz web, utilizada por los administradores para administrar los bots. En este contexto, un bot se refiere a un dispositivo equipado con el agente instalado.
FYI : Esta versión de BlackLotus (V2) ha eliminado Baton Drop y reemplazó la versión original de los cargadores de cuña con BootLicker. La carga de la carga de la UEFI, la infección y la persistencia posterior a la explotación son todos iguales.
Descargue e instale EDK2, desde https://github.com/tianocore/edk2
Las instrucciones se pueden obtener aquí
Después de instalar EDK2, está listo para compilar los controladores EFI. Edite el archivo config.c para incluir su nombre de host C2s o dirección IP. Después de eso, la cumplimiento debería ser fácil, solo mantenga la configuración incluida en la solución de Visual Studio.
WelivenCurity: https://www.welivesecurity.com/2023/03/01/blacklotus-uefi-bootkit-myth-confirmed
Binarly: https://www.binarly.io/posts/the_untold_story_of_the_blacklotus_uefi_bootkit/index.html
Guía de mitigación de la NSA: https://www.nsa.gov/press-room/press-releases-statements/press-release-view/article/3435305/nsa-releases-guide-to-mitigate-lotus-thratus-thratus-thratus-thrat
ThehackerNews: https://thehackernews.com/2023/03/blacklotus-becomes-first-uefi-bootkit.html
Bootlicker: https://github.com/Realoriginal/bootlicker
