BlackLotus

O BlackLotus é um inovador UEFI Bootkit projetado especificamente para o Windows. Ele incorpora um desvio de inicialização seguro e a proteção do ring0/kernel para proteger qualquer tentativa de remoção. Este software serve ao objetivo de funcionar como um carregador HTTP. Graças à sua persistência robusta, não há necessidade de atualizações frequentes do agente com novos métodos de criptografia. Uma vez implantado, o software antivírus tradicional será incapaz de digitalizar e eliminá -lo. O software compreende dois componentes primários: o agente, instalado no dispositivo direcionado, e a interface da Web, utilizada pelos administradores para gerenciar os bots. Nesse contexto, um bot refere -se a um dispositivo equipado com o agente instalado.

FYI : Esta versão do BlackLotus (V2) removeu a queda de bastão e substituiu a versão original Loaders Shim por Bootlicker. O carregamento da UEFI, a persistência de infecção e pós-exploração são todos iguais.

• Escrito em C e X86ASM
• Utiliza na API Windows, NTAPI, EFIAPI (sem bibliotecas de terceiros usadas),
• Nenhum CRT (C Biblioteca de tempo de execução).
• O binário compilado, incluindo o carregador de modo de usuário, tem apenas 80 kb de tamanho
• Usa a comunicação segura HTTPS C2 usando a criptografia RSA e AES
• Configuração dinâmica

• Bypass hvci
• UAC Bypass
• Bypass de inicialização segura
• BILHO BITLOCKER BOOT Sequence Bypass
• Windows Defender Bypass (Patch Windows Defender Drivers na memória e impedir o Windows Defender Usermode Engine de digitalizar/carregar arquivos)
• Chamadas dinâmicas de API hashed (portão do inferno)
• X86 <=> injeção de processo x64
• Motor de conexão da API
• Motor anti-booking (para desativar, ignorar e controlar EDRs)
• Sistema de plug -in modular

Faça o download e instale EDK2, de https://github.com/tianocore/edk2
As instruções podem ser obtidas aqui

Depois de instalar o EDK2, você está pronto para compilar os drivers EFI. Edite o arquivo config.c para incluir seu nome de host C2S ou endereço IP. Depois disso, a complicação deve ser fácil, apenas mantenha as configurações incluídas na solução do Visual Studio.

• Usuário : Yukari
• Senha : padrão

• WeliveSeCurity: https://www.welivesecurity.com/2023/03/01/blacklotus-uefi-bootkit-myth-confirmed

• Binarly: https://www.binarly.io/posts/the_untold_story_of_the_blacklotus_uefi_bootkit/index.html

• Guia de mitigação da NSA: https://www.NSA.gov/press-room/press-releases-Statements/press-release-View/article/3435305/NSA-RELEASES-GUIDE-Mitigate-Blacklotus-THREAT

• TheHackerNews: https://thehackernews.com/2023/03/blacklotus-becomes-first-uefi-bootkit.html

• Bootlicker: https://github.com/realoriginal/bootlicker