BlackLotus
1.0.0
Blacklotus adalah bootkit UEFI inovatif yang dirancang khusus untuk Windows. Ini menggabungkan bypass boot aman bawaan dan perlindungan kernel/kernel untuk melindungi terhadap segala upaya penghapusan. Perangkat lunak ini melayani tujuan berfungsi sebagai pemuat HTTP. Berkat kegigihannya yang kuat, tidak ada keharusan untuk seringnya pembaruan agen dengan metode enkripsi baru. Setelah digunakan, perangkat lunak antivirus tradisional tidak akan mampu memindai dan menghilangkannya. Perangkat lunak ini terdiri dari dua komponen utama: agen, yang diinstal pada perangkat yang ditargetkan, dan antarmuka web, digunakan oleh administrator untuk mengelola bot. Dalam konteks ini, bot mengacu pada perangkat yang dilengkapi dengan agen yang diinstal.
FYI : Versi Blacklotus (V2) ini telah menghapus drop tongkat, dan mengganti versi asli shim loader dengan bootlicker. Pemuatan UEFI, infeksi dan persistensi pasca-eksploitasi semuanya sama.
Unduh dan instal Edk2, dari https://github.com/tianocore/edk2
Instruksi dapat diperoleh di sini
Setelah menginstal EDK2, Anda siap untuk mengkompilasi driver EFI. Edit file config.c untuk menyertakan nama host C2S Anda atau alamat IP. Setelah itu, kompleks harus mudah, simpan saja pengaturan yang disertakan dalam solusi Visual Studio.
Welivesecurity: https://www.welivesecurity.com/2023/03/01/blacklotus-uefi-bootkit-myth-confirmasi
Binarly: https://www.binarly.io/posts/the_untold_story_of_the_blacklotus_uefi_bootkit/index.html
Panduan Mitigasi NSA: https://www.nsa.gov/press-room/press-releases-statements/press-release-view/article/3435305/nsa-releases-guide-to-mitigate-bloatus-croat
TheHackernews: https://thehackernews.com/2023/03/blacklotus-becomes-first-uefi-bootkit.html
Bootlicker: https://github.com/realoriginal/bootlicker
