BlackLotus

BlackLotus est un Bootkit UEFI innovant conçu spécifiquement pour Windows. Il intègre un pontage de démarrage sécurisé intégré et une protection RING0 / noyau pour sauvegarder contre toute tentative de retrait. Ce logiciel sert à fonctionner comme un chargeur HTTP. Grâce à sa persistance robuste, il n'y a aucune nécessité pour les mises à jour fréquentes de l'agent avec de nouvelles méthodes de cryptage. Une fois déployés, les logiciels antivirus traditionnels seront incapables de le scanner et de l'éliminer. Le logiciel comprend deux composants principaux: l'agent, qui est installé sur le périphérique ciblé, et l'interface Web, utilisée par les administrateurs pour gérer les bots. Dans ce contexte, un bot fait référence à un appareil équipé de l'agent installé.

FYI : Cette version de BlackLotus (V2) a supprimé Baton Drop et a remplacé les chargeurs de cale Version d'origine avec Bootlicker. Le chargement de l'UEFI, l'infection et la persistance post-exploitation sont les mêmes.

• Écrit en C et X86ASM
• Utilise sur API Windows, NTAPI, EFIAPI (aucune bibliothèque tierce utilisée),
• Pas de CRT (C Library Runtime).
• Binaire compilé, y compris le chargeur en mode utilisateur, n'a que 80 Ko de taille
• Utilise la communication HTTPS C2 sécurisée en utilisant le cryptage RSA et AES
• Configuration dynamique

• Contournement de HVCI
• Contournement de l'UAC
• Secure de contournement de démarrage
• BitLocker Boot Séquence contourner
• Contournement de Windows Defender (Patch Windows Defender Drivers en mémoire et empêchez les fichiers Windows Defender UserMode de numériser / téléchargement de fichiers)
• Appels API hachés dynamiques (Hell's Gate)
• x86 <=> x64 Injection de processus
• Moteur à accrochage de l'API
• Moteur anti-hooking (pour désactiver, contourner et contrôler les EDR)
• Système de plugin modulaire

Téléchargez et installez EDK2, à partir de https://github.com/tianocore/edk2
Des instructions peuvent être obtenues ici

Après avoir installé EDK2, vous êtes prêt à compiler les pilotes EFI. Modifiez le fichier config.c pour inclure votre nom d'hôte C2S ou votre adresse IP. Après cela, la compréhension doit être facile, gardez simplement les paramètres inclus dans la solution Visual Studio.

• Utilisateur : Yukari
• Mot de passe : par défaut

• Welivesecurity: https://www.welivesecurity.com/2023/03/01/blacklotus-uefi-bootkit-myth-rifirmed

• Binarly: https://www.binarly.io/posts/the_untold_story_of_the_blacklotus_uefi_bootkit/index.html

• Guide de l'atténuation de la NSA: https://www.nsa.gov/press-room/press-releases-statements/press-release-view/article/3435305/nsa-releases-guide-t--mitigate-blacklottus-thereat

• Thehackernews: https://thehackernews.com/2023/03/Blacklotus-Becomes-First-uefi-bootkit.html

• Bootlickerk: https://github.com/realoriginal/bootlicker