Исходники UEFI-буткита BlackLotus опубликовали на GitHub
Исходный код
UEFI-буткита BlackLotus, который ранее продавался в
даркнете за 5000 долларов, был обнаружен аналитиками компании
Binarly на GitHub. Исследователи говорят, что утекшие исходники не совсем полные и содержат в основном
руткит и
буткит для обхода Secure Boot.
Впервые
BlackLotus был замечен в октябре 2022 года. Его продавец утверждал, что
буткит имеет встроенный обход Secure Boot, встроенную защиту от удаления на уровне Ring0/Ядра, а также запускается в режиме восстановления и в безопасном режиме. Сообщалось, что
малварь оснащена
антивиртуализацей,
антиотладкой и
обфускацией, что усложняет ее обнаружение и анализ. Также, согласно заявлениям продавца, защитное ПО не может обнаружить и уничтожить
буткит, так как тот запускается под учетной записью SYSTEM внутри легитимного процесса.
Помимо этого
BlackLotus способен отключать защитные механизмы на целевых машинах, включая Hypervisor-Protected Code Integrity (HVCI) и Windows Defender, а также обходить
User Account Control (UAC).