หน้าแรก>การเขียนโปรแกรมที่เกี่ยวข้อง>ซอร์สโค้ดอื่น ๆ
ดาวน์โหลด

Blacklotus

Blacklotus เป็น UEFI Bootkit ที่ได้รับการออกแบบมาสำหรับ Windows โดยเฉพาะ มันรวมเอาการบายพาสบูตที่ปลอดภัยในตัวและการป้องกัน RING0/เคอร์เนลเพื่อป้องกันความพยายามใด ๆ ในการกำจัด ซอฟต์แวร์นี้มีจุดประสงค์ในการทำงานเป็นตัวโหลด HTTP ต้องขอบคุณการคงอยู่ที่แข็งแกร่งจึงไม่จำเป็นสำหรับการอัปเดตของเอเจนต์บ่อยครั้งด้วยวิธีการเข้ารหัสใหม่ เมื่อนำไปใช้งานซอฟต์แวร์ป้องกันไวรัสแบบดั้งเดิมจะไม่สามารถสแกนและกำจัดได้ ซอฟต์แวร์ประกอบด้วยสององค์ประกอบหลัก: เอเจนต์ซึ่งติดตั้งบนอุปกรณ์เป้าหมายและเว็บอินเตอร์เฟสที่ผู้ดูแลระบบใช้เพื่อจัดการบอท ในบริบทนี้บอทหมายถึงอุปกรณ์ที่ติดตั้งเอเจนต์ที่ติดตั้ง

FYI : Blacklotus (V2) เวอร์ชันนี้ได้ลบ Baton Drop และแทนที่เวอร์ชันดั้งเดิม Shim Loaders ด้วย bootlicker การโหลด UEFI การติดเชื้อและการคงอยู่หลังการแสวงหาผลประโยชน์นั้นเหมือนกันทั้งหมด

ทั่วไป

  • เขียนเป็น C และ x86ASM
  • ใช้ประโยชน์จาก Windows API, NTAPI, Efiapi (ไม่ใช้ไลบรารีบุคคลที่สาม),
  • ไม่มี CRT (C Library Runtime)
  • Binary ที่รวบรวมรวมถึงตัวโหลดโหมดผู้ใช้มีขนาดเพียง 80kb
  • ใช้การสื่อสารที่ปลอดภัย HTTPS C2 โดยใช้การเข้ารหัส RSA และ AES
  • การกำหนดค่าแบบไดนามิก

คุณสมบัติ

  • บายพาส HVCI
  • บายพาส UAC
  • ปลอดภัยบายพาสบูต
  • บายพาส Bitlocker Boot Bypass
  • บายพาส Windows Defender (Patch Windows Defender Drivers ในหน่วยความจำและป้องกันไม่ให้ Windows Defender USERMODE Engine จากการสแกน/อัปโหลดไฟล์)
  • Dynamic Hashed API Calls (Hell's Gate)
  • x86 <=> การฉีดกระบวนการ x64
  • เอ็นจิ้น API
  • เครื่องยนต์ต่อต้านการบ้าน (สำหรับการปิดการใช้งานข้ามและควบคุม EDRs)
  • ระบบปลั๊กอินแบบแยกส่วน

การติดตั้ง

ดาวน์โหลดและติดตั้ง EDK2 จาก https://github.com/tianocore/edk2
สามารถรับคำแนะนำได้ที่นี่

หลังจากติดตั้ง EDK2 คุณพร้อมที่จะรวบรวมไดรเวอร์ EFI แก้ไขไฟล์ config.c เพื่อรวมชื่อโฮสต์ C2S หรือที่อยู่ IP ของคุณ หลังจากนั้นการปฏิบัติตามควรเป็นเรื่องง่ายเพียงแค่เก็บการตั้งค่าที่รวมไว้ในโซลูชัน Visual Studio

ข้อมูลรับรองแผงเริ่มต้น:

  • ผู้ใช้ : ยูการิ
  • รหัสผ่าน : ค่าเริ่มต้น

การอ้างอิง

  • Welivesecurity: https://www.welivesecurity.com/2023/03/01/blacklotus-uefi-bootkit-myth-confirmed

  • Binarly: https://www.binarly.io/posts/the_untold_story_of_the_blacklotus_uefi_bootkit/index.html

  • คู่มือการบรรเทา NSA: https://www.nsa.gov/press-room/press-releases-statements/press-release-view/article/3435305/nsa-releases-guide-to-mitigate-blacklotus-threat

  • ThehackerNews: https://thehackernews.com/2023/03/blacklotus-becomes-first-uefi-bootkit.html

  • bootlicker: https://github.com/realoriginal/bootlicker

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด