BlackLotus UEFI 启动套件源代码在 GitHub 上泄露

Binarly 的分析师在 GitHub 上发现了此前在暗网以 5,000 美元售卖的 BlackLotus UEFI 启动套件的源代码。研究人员表示，泄露的源代码并非完全完整，主要包含一个用于绕过安全启动的 rootkit 和一个 bootkit。

BlackLotus 于 2022 年 10 月首次被发现。其卖家声称该启动套件具有内置的安全启动绕过功能、内置的 Ring0/内核删除保护，并且能在恢复模式和安全模式下运行。据报道，该恶意软件配备了反虚拟化、反调试和混淆技术，这增加了其检测和分析的难度。此外，据卖家称，安全软件无法检测和销毁该启动套件，因为它在一个合法进程内以 SYSTEM 账户身份运行。

此外，BlackLotus 能够禁用目标计算机上的安全机制，包括 Hypervisor 保护的代码完整性 (HVCI) 和 Windows Defender，同时也能绕过用户账户控制 (UAC)。

BlackLotus 的大小为 80 千字节，用汇编语言和 C 语言编写，并且可以确定受害者的地理围栏，以避免感染独联体国家的计算机。去年，该恶意软件以 5,000 美元的价格出售，每个新版本还需额外支付 200 美元。

对 BlackLotus 的分析

随后，ESET 的分析师对这一威胁进行了研究。他们确认该启动套件可以轻松绕过安全启动，并利用一年前的 Baton Drop 漏洞 (CVE-2022-21894) 在系统中站稳脚跟。

需要强调的是，微软早在 2022 年 1 月就修复了此问题，但攻击者仍然可以利用它，因为受影响的已签名二进制文件尚未被添加到吊销列表中。据分析师称，BlackLotus 是首个记录在案的滥用此漏洞的案例。

后来，微软专家在分析受 BlackLotus 感染的设备时，发现了一系列有助于检测感染的特征，并详细描述了可能的入侵指标。

他们还发现 BlackLotus 利用了另一个与绕过安全启动保护相关的漏洞 CVE-2023-24932。尽管该漏洞已于今年 5 月修复，但此更新默认是禁用的，微软要求 Windows 用户以非常复杂的手动方式安装此修复程序。

由于微软警告说，安装此补丁不当可能会导致 Windows 无法启动，甚至无法从安装介质恢复，许多人选择不安装这些补丁，使得设备容易受到攻击。

源代码泄露

正如 Binarly 专家现在所说，BlackLotus 源代码是由昵称为 Yukari 的用户泄露到 GitHub 的。他写道，源代码已被修改，不再利用 Baton Drop 漏洞。相反，BlackLotus 使用了基于 CosmicStrand、MoonBounce 和 ESPECTRE UEFI APT rootkit 的 bootlicker UEFI rootkit。