BlackLotus UEFI bootkit 相关样本

mozhiwei

金山毒霸kill 4x

wowocock

tdsskiller 发表于 2023-3-2 16:47
初步测试：需要bypass检测虚拟机，需要用大黄狗(hzqst)的vmloader反检测，可以成功运行文件1f43703d2171ab9 ...

看提示是少了MMX64.EFI，奇怪我真机测试都没起作用。

tdsskiller

wowocock 发表于 2023-3-2 17:28
看提示是少了MMX64.EFI，奇怪我真机测试都没起作用。

你检测一下是否是云控下载组件。不生效得看看是否触发什么检测。火绒可以看到它的检测的项目，会检测磁盘，scsi或VBOX相关项目
In offline versions, Windows binaries are embedded in the installer
In online versions, Windows binaries are downloaded directly from the Microsoft symbol store. So far, we’ve seen the following Windows binaries being abused by the BlackLotus bootkit:
https://msdl.microsoft.com/downl ... /bootmG{过}F{滤}W.efi
https://msdl.microsoft.com/downl ... 61BC000/bootmgr.efi
https://msdl.microsoft.com/downl ... 11D000/hvloader.efi

我虚拟机触发后仍然没有查到这些0day文件，只有触发了那个投放uefibootkit的历程

wowocock

tdsskiller 发表于 2023-3-2 17:34
你检测一下是否是云控下载组件。不生效得看看是否触发什么检测。火绒可以看到它的检测的项目，会检测磁盘 ...

真机把调试模式关了，再运行的确可以起来了。重启以后
ESP:\EFI\Microsoft\Boot\winload.efi
ESP:\EFI\Microsoft\Boot\bootmG{过}F{滤}W.efi
ESP:\EFI\Microsoft\Boot\grubx64.efi
这3个文件都被保护了，不过以前急救箱的强力模式就设计了，对BOOTKIT的处理。
可以用急救箱启用蓝强力，扫描后重启，先不用红强力扫描，直接进ESP，就可以修改被木马保护的这3个文件了，然后恢复系统即可。

tdsskiller

wowocock 发表于 2023-3-2 17:28
看提示是少了MMX64.EFI，奇怪我真机测试都没起作用。

虚拟机用了hzqst的VM屏蔽成功触发。

然后一段时间后系统被强制重启。
然后卡死在boot，难道是虚拟机的boot有问题？？

wowocock

tdsskiller 发表于 2023-3-2 18:07
虚拟机用了hzqst的VM屏蔽成功触发。

然后一段时间后系统被强制重启。

用真机测试吧，真机可以。

tdsskiller

wowocock 发表于 2023-3-2 18:01
真机把调试模式关了，再运行的确可以起来了。重启以后
ESP:\EFI\Microsoft\Boot\winload.efi
ESP:\EFI\ ...

这三个没有强保护吧？只是据说触发什么木马的自我保护就会导致重启

火绒剑貌似看不见组件？？

tdsskiller

wowocock 发表于 2023-3-2 18:10
用真机测试吧，真机可以。

不太敢，我看关掉secureboot后虚拟机启动起来内核线程未知一个，System一直在打开networkcard项。winlogon里面未知线程一个，已经成功建立连接了

tdsskiller

wowocock 发表于 2023-3-2 18:10
用真机测试吧，真机可以。

我等等去实验室拿个老机器试试，dell主板，bios里面的安全项目有不少，除了把secureboot打开还要把什么打开吗？