Приветствую вас, дорогие читатели! Сегодня мы продолжим изучать BlackLotus UEFI bootkit. В прошлой части мы рассмотрели темы:
В предыдущей части мы выполнили следующие шаги:
1. Подготовка тестового стенда.
2. Запуск CVE-2022-21894 (baton drop).
В этой части мы сосредоточимся на следующих шагах:
3. Добавление сертификата в базу данных MOK.
4. Компиляция payload и компонентов для его выполнения.
5. Чтение и запись файлов в операционной системе Windows10 из файловой системы NTFS через grub.elf.
Отказ от ответственности
Информация, представленная в данной статье, носит исключительно информационный характер. Она не предназначена для использования в качестве профессиональной консультации или рекомендации. Автор не несет ответственности за какие-либо действия, предпринятые на основе информации, содержащейся в этой статье.
Автор не гарантирует полноту, точность или актуальность информации, а также не несет ответственность за возможный ущерб, включая утрату данных, нарушения безопасности или иные последствия, которые могут возникнуть в результате применения представленных материалов.
Использование информации осуществляется на ваш страх и риск.
Рассмотрим подробнее, зачем нам это нужно. Поскольку grub.elf компилируется вручную, он не имеет валидной цифровой подписи. В такой ситуации Secure Boot не позволит его запустить, блокируя выполнение неподтверждённого или неподписанного кода. Чтобы обойти это ограничение, мы должны подписать grub.elf и добавить подпись в MOK (Machine Owner Key), который управляет доверенными ключами системы. Это обеспечит корректный запуск на устройстве с включённым Secure Boot.
Все статьи подряд / Информационная безопасность / Хабр