BlackLotus é um UEFI Bootkit inovador projetado especificamente para Windows. Ele incorpora um desvio de inicialização segura integrado e proteção Ring0/Kernel para proteger contra qualquer tentativa de remoção. Este software serve para funcionar como um HTTP Loader. Graças à sua robusta persistência, não há necessidade de atualizações frequentes do Agente com novos métodos de criptografia. Uma vez implantado, o software antivírus tradicional será incapaz de escaneá-lo e eliminá-lo. O software compreende dois componentes principais: o Agente, que é instalado no dispositivo de destino, e a Interface da Web, utilizada pelos administradores para gerenciar os bots. Nesse contexto, um bot se refere a um dispositivo equipado com o Agente instalado.
FYI: Esta versão do BlackLotus (v2) removeu a queda de bastão e substituiu os carregadores SHIM da versão original por bootlicker. Carregamento UEFI, infecção e persistência pós-exploração são todos iguais.
GERAL
Escrito em C e x86asm.
Utiliza API do Windows, NTAPI, EFIAPI (NENHUMA biblioteca de terceiros usada),
NENHUMA CRT (biblioteca de tempo de execução C).
Binário compilado, incluindo o carregador de modo de usuário, tem apenas 80 KB de tamanho
Usa comunicação segura HTTPS C2 usando criptografia RSA e AES
Configuração dinâmica
Recursos Ignorar
HVCI Ignorar
UAC Ignorar
inicialização segura Ignorar
sequência de inicialização BitLocker
Ignorar o Windows Defender (corrigir os drivers do Windows Defender na memória e impedir que o mecanismo de modo de usuário do Windows Defender escaneie/carregue arquivos)
Chamadas de API hash dinâmicas (portão do inferno)
x86<=>x64 injeção de processo API
do mecanismo de gancho Mecanismo
Anti-Hooking (para desabilitar, ignorar , e controlando EDRs) Configuração
modular do sistema de plugins
modificando o arquivo config.c incluindo seu nome de host C2s ou endereço IP. Depois disso, o cumprimento deve ser fácil, basta manter as configurações incluídas na solução do Visual Studio.
Credenciais do painel padrão:
usuário: yukari
senha: padrão