De broncode van de BlackLotus-bootkit is op GitHub gezet door een onbekende gebruiker die zichzelf Yukari noemt. Volgens kenners is de broncode wel aangepast, maar dat neemt niet weg dat iedereen die dat zou willen nu kan kijken hoe het stuk software in elkaar gezet is.
Volgens Alex Matrosov, medeoprichter en directeur van beveiligingsbedrijf Binarly, gebruikt de BlackLotus-bootkit methodes en technieken die al jaren bekend zijn.
De min of meer onzichtbare uefi-bootkit die het secure bootproces van Windows aanvalt heeft nog steeds weinig moeite met het overleven op volledig up-to-date Windows-installaties met de meest geavanceerde beveiligingsfuncties. De bootkit staat sinds zijn ontdekking op de zwarte markten voor software in oktober 2022 bekend als een van de gevaarlijkste en meest complexe bedreigingen die er is. Er werden licenties aangeboden voor 5.000 Amerikaanse dollars en ‘rebuilds’ met extra functionaliteit waren te koop voor 200 USD. De broncode van de bootkit-malware was tot nu toe nergens te vinden.
Op de GitHub-pagina, speciaal voor de BlackLotus uefi-bootkit gemaakt, stelt gebruiker Yukari dat het een ‘innovatief’ stuk software is. Er is een ingebouwd Security Boot-bypassproces en het heeft kernelpriviliges (Ring 0) in het Windows-besturingssysteem. Ook is er een handige http-loader in verwerkt om instructies en extra code van externe servers op te halen. Yukari zegt dat antivirus-software BlackLotus kan detecteren noch verwijderen en geavanceerde beveiligingsfuncties zoals uac, hvci en BitLocker hebben ook geen enkel nut.
Microsoft had de eerste veiligheidskwetsbaarheid ‘Baton Drop’ (cve-2022-21894) die BlackLotus uitbuitte al in januari van 2022 gepatcht, maar het bedrijf zag zich genoodzaakt om een nieuwe update uit te brengen voor een ander Secure Boot-bypassproces. Deze patch voor de kwetsbaaheid met code cve-2023-24932 moest bootmanagers met kwade intenties opsporen en intrekken. Het bedrijf kwam ook met uitgebreide instructies om infectie te herkennen en bootmanagerintrekkingen te installeren.
