BlackLotus UEFI启动套件源码在GitHub发布

Binarly分析师在GitHub上发现了BlackLotus UEFI启动套件的源代码，该恶意软件此前在暗网以5,000美元的价格出售。研究人员表示泄露的源代码并不完全完整，主要包含一个根套件和一个用于绕过安全启动的启动套件。

BlackLotus背景

BlackLotus于2022年10月首次被发现。其卖家声称该启动套件具有内置的安全启动绕过功能、内置的Ring0/内核删除保护，并且能在恢复模式和安全模式下运行。据报道，该恶意软件配备了反虚拟化、反调试和混淆功能，这使其检测和分析变得复杂。此外，据卖家称，安全软件无法检测和销毁该启动套件，因为它在一个合法进程内以SYSTEM账户身份运行。

此外，BlackLotus能够禁用目标机器上的安全机制，包括Hypervisor保护的代码完整性（HVCI）和Windows Defender，以及绕过用户账户控制（UAC）。

BlackLotus大小为80千字节，用汇编语言和C语言编写，能够确定受害者的地理围栏，以避免感染独联体国家的机器。去年，该恶意软件以5,000美元的价格出售，每个新版本还需额外支付200美元。

BlackLotus分析

后来，ESET的分析师对这一威胁进行了研究。他们确认该启动套件轻松绕过了安全启动，并利用一年前的Baton Drop漏洞（CVE-2022-21894）在系统中站稳脚跟。

需要强调的是，微软早在2022年1月就修复了这个问题，但攻击者仍然可以利用它，因为受影响的签名二进制文件尚未被添加到吊销列表中。根据分析师的说明，BlackLotus是首个有记录的滥用此漏洞的案例。

后来，微软专家在分析受BlackLotus感染的设备时，发现了一系列可以检测感染的特征，并详细描述了可能的入侵指标。

他们还发现BlackLotus利用了另一个漏洞CVE-2023-24932，该漏洞也与绕过安全启动保护相关。尽管这个漏洞在今年5月得到了修复，但此更新默认是禁用的，并且微软要求Windows用户执行非常复杂的手动安装来应用此修复程序。

由于公司警告称，错误安装补丁可能导致Windows无法启动，甚至无法从安装介质恢复，许多人选择不安装这些补丁，使得设备容易受到攻击。

源代码泄露

正如Binarly专家现在所说，BlackLotus源代码被一位昵称为Yukari的用户泄露到了GitHub。他写道源代码已被修改，不再利用Baton Drop漏洞。相反，BlackLotus使用了bootlicker UEFI根套件，该套件基于CosmicStrand、MoonBounce和ESPECTRE UEFI APT根套件。