BlackLotus

BlackLotus는 Windows 용으로 특별히 설계된 혁신적인 UEFI Bootkit입니다. 내장 된 보안 부팅 바이 패스 및 Ring0/커널 보호 기능을 통합하여 제거 시도에 대한 보호를 보호합니다. 이 소프트웨어는 HTTP 로더 역할을하는 목적을 제공합니다. 강력한 지속성 덕분에 새로운 암호화 방법으로 에이전트의 빈번한 업데이트가 필요하지 않습니다. 일단 배포되면 기존 바이러스 백신 소프트웨어는 스캔하고 제거 할 수 없습니다. 이 소프트웨어는 대상 장치에 설치된 에이전트와 관리자가 봇을 관리하는 데 사용하는 웹 인터페이스의 두 가지 기본 구성 요소로 구성됩니다. 이러한 맥락에서 봇은 설치된 에이전트가 장착 된 장치를 나타냅니다.

참고 :이 버전의 BlackLotus (v2)는 배턴 드롭을 제거하고 원래 버전의 Shim 로더를 BootLicker로 교체했습니다. UEFI 적재, 감염 및 탐구 후 지속성은 모두 동일합니다.

• C 및 X86ASM으로 작성되었습니다
• Windows API, NTAPI, EFIAPI (사용 된 파티 라이브러리 없음)에서 사용
• CRT 없음 (C 런타임 라이브러리).
• 사용자 모드 로더를 포함한 컴파일 바이너리 크기는 80kB에 불과합니다.
• RSA 및 AES 암호화를 사용하여 보안 HTTPS C2 통신을 사용합니다.
• 동적 구성

• HVCI 바이 패스
• UAC 바이 패스
• 보안 부트 바이 패스
• Bitlocker 부팅 시퀀스 바이 패스
• Windows Defender Bypass (패치 Windows Defender 드라이버 및 Windows Defender Usermode Engine을 스캔/업로드하는 것을 방지)
• 동적 해시 API 통화 (Hell 's Gate)
• x86 <=> x64 공정 주입
• API 훅킹 엔진
• 반사 엔진 (EDR을 비활성화, 우회 및 제어 용)
• 모듈 식 플러그인 시스템

https://github.com/tianocore/edk2에서 Edk2를 다운로드하여 설치하십시오
지침은 여기에서 얻을 수 있습니다

EDK2를 설치 한 후에는 EFI 드라이버를 컴파일 할 준비가되었습니다. C2S 호스트 이름 또는 IP 주소를 포함하도록 config.c 파일을 편집하십시오. 그 후에는 Compariation이 쉬워야합니다. 포함 된 설정을 Visual Studio 솔루션에 보관하십시오.

• 사용자 : 유카리
• 비밀번호 : 기본값

• Welivesecurity : https://www.welivesecurity.com/2023/03/01/blacklotus-uefi-bootkit-myth-confirmed

• binarly : https://www.binarly.io/posts/the_untold_story_of_the_blacklotus_uefi_bootkit/index.html

• NSA 완화 안내서 : https://www.nsa.gov/press-room/press-releases-statements/press-release-view/article/3435305/nsa-releases-guide-tomitigate-blacklotus-threat

• theHackernews : https://thehackernews.com/2023/03/blacklotus-becomes-first-uefi-bootkit.html

• bootlicker : https://github.com/realoriginal/bootlicker