Исходный код вредоносной программы Blacklotus для Windows UEFI !
BlackLotus - это инновационный буткит UEFI, разработанный специально для Windows. Он включает в себя встроенный обход безопасной загрузки и защиту Ring0/Kernel для защиты от любых попыток удаления. Это программное обеспечение служит для работы в качестве загрузчика HTTP. Благодаря его надежному сохранению нет необходимости в частых обновлениях агента новыми методами шифрования. После развертывания традиционное антивирусное программное обеспечение не сможет сканировать и удалять его. Программное обеспечение состоит из двух основных компонентов: агента, который устанавливается на целевом устройстве, и веб-интерфейса, используемого администраторами для управления ботами. В данном контексте под ботом понимается устройство, на котором установлен Агент.
Это загрузчик, который нацелен на Windows и может обойти механизм Secure Boot, который блокирует недоверенные загрузчики на компьютерах с прошивкой UEFI и чипом TPM. Эта функция безопасности предназначена для предотвращения загрузки руткитов во время процесса запуска и уклонения от обнаружения приложениями, работающими в Windows.
BlackLotus также может отключать защиту данных BitLocker, антивирус Microsoft Defender и защиту целостности кода гипервизора (HVCI) - также известную как функция целостности памяти, которая защищает от попыток эксплуатации ядра Windows.
ОБЩИЕ СВЕДЕНИЯ :
-------------------------------
Написано на C и x86asm
Использует Windows API, NTAPI, EFIAPI (без использования сторонних библиотек),
НЕТ CRT (библиотека времени выполнения C).
Скомпилированный двоичный файл, включая загрузчик пользовательского режима, имеет размер всего 80 КБ.
Использует безопасную связь HTTPS C2 с использованием шифрования RSA и AES.
Динамическая конфигурация
ФУНКЦИИ :
-------------------------------
- Обход HVCI
- обход UAC
- Безопасный обход загрузки
- Обход последовательности загрузки BitLocker
- Обход Защитника Windows (исправление драйверов Защитника Windows в памяти и предотвращение сканирования/загрузки файлов модулем пользовательского режима Защитника Windows)
- Динамические хешированные вызовы API (ворота ада)
- x86<=>внедрение процесса x64
- Механизм перехвата API
- Механизм защиты от перехвата (для отключения, обхода и контроля EDR)
- Модульная система плагинов
Подробнее:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Вам нужно авторизоваться, чтобы просмотреть содержимое.