BlackLotus

Blacklotusは、Windows専用に設計された革新的なUEFI BOOTKITです。取り外しの試みを防ぐために、組み込みの安全なブートバイパスとRING0/カーネル保護が組み込まれています。このソフトウェアは、HTTPローダーとして機能する目的に役立ちます。その堅牢な持続性のおかげで、新しい暗号化方法を使用したエージェントの頻繁な更新の必要はありません。展開すると、従来のウイルス対策ソフトウェアはスキャンして排除することができません。ソフトウェアは、ターゲットを絞ったデバイスにインストールされているエージェントと、管理者がボットを管理するために利用しているWebインターフェイスの2つの主要なコンポーネントで構成されています。これに関連して、ボットとは、インストールされたエージェントを装備したデバイスを指します。

FYI ：Blacklotus（V2）のこのバージョンは、バトンドロップを削除し、元のバージョンShim LoadersをBootLickerに置き換えました。 UEFIの荷重、感染、爆発後の持続性はすべて同じです。

• Cおよびx86asmで書かれています
• Windows API、ntapi、efiapi（使用されていないサードパーティライブラリなし）で利用します。
• CRTなし（Cランタイムライブラリ）。
• ユーザーモードローダーを含むコンパイルされたバイナリのサイズはわずか80kbです
• RSAおよびAES暗号化を使用して、安全なHTTPS C2通信を使用します
• 動的構成

• HVCIバイパス
• UACバイパス
• セキュアブートバイパス
• ビットロッカーブートシーケンスバイパス
• Windows Defender Bypass（メモリ内のWindows Defenderドライバーのパッチ、およびWindowsディフェンダーUsermodeエンジンがファイルをスキャン/アップロードするのを防ぐ）
• ダイナミックハッシュアピコール（Hell's Gate）
• X86 <=> X64プロセスインジェクション
• APIフックエンジン
• アンチホーキングエンジン（EDRを無効化、バイパス、制御用）
• モジュラープラグインシステム

https://github.com/tianocore/edk2からEDK2をダウンロードしてインストールします
ここで手順を取得できます

EDK2をインストールした後、EFIドライバーをコンパイルする準備ができました。 config.cファイルを編集して、C2Sホスト名またはIPアドレスを含めます。その後、コンプライレンスは簡単にする必要があります。付属の設定をVisual Studioソリューションに保管してください。

• ユーザー：Yukari
• パスワード：デフォルト

• welivesecurity：https：//www.welivesecurity.com/2023/03/01/blacklotus-uefi-bootkit-myth-myth-confirmed

• Binarly：https：//www.binarly.io/posts/the_untold_story_of_the_blacklotus_uefi_bootkit/index.html

• NSA緩和ガイド：https：//www.nsa.gov/press-room/press-releases-statements/press-release-view/article/3435305/nsa-releases-guide-tymitigate-blacklotus-threat

• TheHackernews：https：//thehackernews.com/2023/03/blacklotus-becomes-first-uefi-bootkit.html

• bootlicker：https：//github.com/realoriginal/bootlicker