BlackLotus

Blacklotus - это инновационный UEFI Bootkit, разработанный специально для Windows. Он включает в себя встроенный защитный байпас и защиту кольца/ядра для защиты от любых попыток удаления. Это программное обеспечение служит целью функционирования как HTTP -погрузчик. Благодаря его надежной настойчивости, нет необходимости для частых обновлений агента с новыми методами шифрования. После развертывания традиционное антивирусное программное обеспечение будет неспособно сканировать и устранить его. Программное обеспечение состоит из двух основных компонентов: агент, который установлен на целевом устройстве, и веб -интерфейс, используемый администраторами для управления ботами. В этом контексте бот относится к устройству, оснащенному установленным агентом.

К вашему сведению : эта версия Blacklotus (V2) удалила выпадение эстафеты и заменила оригинальную версию Shim Loaders на Bootlicker. Уэфи, нагрузка, инфекция и постоянная упорство после эксплуатации-все одно и то же.

• Написано в C и X86ASMASM
• Используется в Windows API, NTAPI, EFIAPI (не использовалось 3 -е библиотеки),
• Нет CRT (C библиотека времени выполнения).
• Скомпилированный двоичный файл, включая загрузчик пользовательского режима, составляет всего 80 КБ размер
• Использует безопасную связь HTTPS C2 с помощью шифрования RSA и AES и AES
• Динамическая конфигурация

• HVCI обход
• Uac inpass
• Безопасный байпас
• Bitlocker Boot Sequence
• Обход защитника Windows (исправления драйверов защитников Windows в памяти и предотвращайте управляющий hersermode Engine Scanning/загрузку файлов)
• Динамические вызовы API с хешированием (Adhy's Gate)
• x86 <=> x64 Инъекция процесса
• API -зацепленный двигатель
• Двигатель против охоты (для отключения, обхода и управления EDR)
• Модульная система плагинов

Скачать и установить EDK2, с https://github.com/tianocore/edk2
Инструкции можно получить здесь

После установки EDK2 вы готовы скомпилировать драйверы EFI. Измените файл config.c, чтобы включить свое имя хоста C2S или IP -адрес. После этого соответствие должно быть простым, просто сохраняйте включенные настройки в решении Visual Studio.

• Пользователь : Юкари
• Пароль : по умолчанию

• Welivesecurity: https://www.welivesecurity.com/2023/03/01/blacklotus-uefi-bootkit-myth-confermed

• Binarly: https://www.binarly.io/posts/the_untold_story_of_the_blacklotus_uefi_bootkit/index.html

• Руководство по смягчению НБА: https://www.nsa.gov/press-room/press-releases-statements/press-release-view/article/3435305/nsa-releases-guide-to-mitigate-lacklotus-trate

• TheHackerNews: https://thehackernews.com/2023/03/blacklotus-becomes-first-uefi-bootkit.html

• Bootlicker: https://github.com/realoriginal/bootlicker