BlackLotus Windows UEFI


HMCoba

Активный пользователь
Активный
Регистрация
22.04.2023
Сообщения
166
Репутация
148
00001.png
Исходный код вредоносной программы Blacklotus для Windows UEFI !
BlackLotus - это инновационный буткит UEFI, разработанный специально для Windows. Он включает в себя встроенный обход безопасной загрузки и защиту Ring0/Kernel для защиты от любых попыток удаления. Это программное обеспечение служит для работы в качестве загрузчика HTTP. Благодаря его надежному сохранению нет необходимости в частых обновлениях агента новыми методами шифрования. После развертывания традиционное антивирусное программное обеспечение не сможет сканировать и удалять его. Программное обеспечение состоит из двух основных компонентов: агента, который устанавливается на целевом устройстве, и веб-интерфейса, используемого администраторами для управления ботами. В данном контексте под ботом понимается устройство, на котором установлен Агент.
Это загрузчик, который нацелен на Windows и может обойти механизм Secure Boot, который блокирует недоверенные загрузчики на компьютерах с прошивкой UEFI и чипом TPM. Эта функция безопасности предназначена для предотвращения загрузки руткитов во время процесса запуска и уклонения от обнаружения приложениями, работающими в Windows.
BlackLotus также может отключать защиту данных BitLocker, антивирус Microsoft Defender и защиту целостности кода гипервизора (HVCI) - также известную как функция целостности памяти, которая защищает от попыток эксплуатации ядра Windows.
ОБЩИЕ СВЕДЕНИЯ :
-------------------------------
Написано на C и x86asm​
Использует Windows API, NTAPI, EFIAPI (без использования сторонних библиотек),​
НЕТ CRT (библиотека времени выполнения C).​
Скомпилированный двоичный файл, включая загрузчик пользовательского режима, имеет размер всего 80 КБ.​
Использует безопасную связь HTTPS C2 с использованием шифрования RSA и AES.​
Динамическая конфигурация​
ФУНКЦИИ :
-------------------------------
  • Обход HVCI
  • обход UAC
  • Безопасный обход загрузки
  • Обход последовательности загрузки BitLocker
  • Обход Защитника Windows (исправление драйверов Защитника Windows в памяти и предотвращение сканирования/загрузки файлов модулем пользовательского режима Защитника Windows)
  • Динамические хешированные вызовы API (ворота ада)
  • x86<=>внедрение процесса x64
  • Механизм перехвата API
  • Механизм защиты от перехвата (для отключения, обхода и контроля EDR)
  • Модульная система плагинов
Подробнее:
Вам нужно авторизоваться, чтобы просмотреть содержимое.
 

MKII

Просветленный
Просветленный
Регистрация
03.10.2022
Сообщения
264
Репутация
197
То что я искал на днях, спасибо.
 
Верх Низ