BlackLotus UEFI启动工具包的源代码已经在GitHub上发布，专家警告自定义版本扩散的风险。

来自ESET的研究人员在三月发现了一个新的隐形统一可扩展固件接口（UEFI）引导工具包，名为黑莲花，这是能够绕过Windows 11上的安全启动。

安全启动是最新的统一可扩展固件接口（UEFI）2.3.1的一项安全功能，旨在通过验证其数字签名来检测对引导加载程序、关键操作系统文件和未经授权的选项ROM的篡改。“检测在攻击或感染系统规范之前被阻止运行。

BlackLotus是第一个能够在完全最新的Windows 11系统上绕过安全功能的UEFI引导工具包。

黑莲花恶意软件是一个UEFI引导工具包，至少从2022年10月开始在黑客论坛上出售。这个强大的恶意软件以5000美元的价格出售，每一次新的更新支付200美元。

Black Lotus是用汇编和C语言编写的，大小只有80kb，恶意代码可以通过配置来避免感染独联体地区国家的系统。

该恶意软件支持反虚拟化、反调试和代码混淆。Black Lotus能够禁用安全解决方案，包括受管理程序保护的代码完整性（HVCI）、BitLocker和Windows Defender。该rootkit是能够绕过安全防御，如UAC和安全启动，它是能够加载未签名的驱动程序用于执行广泛的恶意活动。

该威胁是非常隐蔽的，它可以实现在UEFI级别与Ring 0代理保护的持久性。

black lotus支持一整套后门功能，它也可以潜在地用于it和ot环境。

ESET研究人员报告说，引导工具包利用漏洞CVE-2022-21894绕过UEFI安全引导并保持持久性。这是第一个公开已知的在野外滥用此漏洞的引导工具包。

“利用CVE-2022-21894绕过安全引导功能并安装引导工具包。这允许在早期引导阶段执行任意代码，此时平台仍由固件拥有，并且UEFI引导服务功能仍可用。”专家们发表的分析报告中写道。“这使得攻击者能够在启用了UEFI安全启动且无法对其进行物理访问的计算机上执行许多操作，例如修改仅限引导服务的NVRAM变量。而这正是攻击者在下一步中为引导工具设置持久性所利用的。”

专家指出，尽管微软在2022年1月解决了这个问题，但由于受影响的、有效签名的二进制文件尚未添加到UEFI撤销列表中，因此仍然有可能被利用。

成功安装引导工具包后，恶意代码将部署一个内核驱动程序和一个HTTP下载器，用于C2通信，可以加载额外的用户模式或内核模式有效负载。

BlackLotusUEFI引导工具包的源代码已经泄露到GitHub上，这意味着威胁参与者可以使用它创建自己的变体，其中包括新的漏洞。

Bootkit源代码的公开提供带来了很大的风险，主要是因为它可以与新的攻击相结合，并创造新的攻击机会。

固件安全公司Binally的首席执行官AlexMatrosov认为，泄漏的源代码并不构成重大威胁，因为它还没有完成。

泄露的源代码并不完整，主要包含rootkit部分和绕过安全启动的bootkit代码。这些技巧和技术中的大多数都是多年前就知道的，并没有产生显著的影响。

“然而，能够将它们与新的攻击(如BlackLotus战役)结合起来这一事实对业界来说是一件意想不到的事情，并显示了当前操作系统下缓解的真正局限性。“BlackLotus泄漏显示，旧的rootkit和bootkit技巧，再加上新的安全引导绕过漏洞，仍然可以非常有效地蒙蔽许多现代端点安全解决方案。”

研究人员指出，黑莲花是使用众所周知的BatonDrop漏洞观察到的。

尽管CVE-2022-21894是在2022年修补的，但由于易受攻击的二进制文件仍被用作UEFI的一部分，影响得以利用。

“企业维护者和CISO需要理解操作系统之下的威胁是明显的，并对他们的环境造成危险。由于这个攻击矢量对攻击者有很大的好处，它只会变得更加复杂和复杂，“Matrosov总结说。