Hallo alle,

mal eine Frage an die Experten. Gibt es eine einfache Möglichkeit herauszufinden ob ein System von BlackLotus BootKit befallen ist/sein könnte?

BlackLotus ist das hier (https://www.welivesecurity.com/deutsch/2023/03/01/blacklotus-uefi-bootkit-ist-kein-mythos-mehr/#vorbeugung-und-gegenmanahmen)

Gibt es ggf. tatsächlich ein seriöses Tool um das scannen zu können?

Ich konnte den Weg (https://www.microsoft.com/en-us/security/blog/2023/04/11/guidance-for-investigating-attacks-using-cve-2022-21894-the-blacklotus-campaign/) über mountvol [freiesLaufwerk:] /s finden.

Hab dann alle dort zu findenden .efi dateien mit certutil -hashfile gecheckt und da alle "zugänglich" sind und nicht "geblockt" werden, würde ich davon ausgehen dass kein BlackLotus BootKit im EFI versteckt ist?

Könnte das jemand mit mehr Verständnis ggf. bestätigen?

Hallo alle,

mal eine Frage an die Experten. Gibt es eine einfache Möglichkeit herauszufinden ob ein System von BlackLotus BootKit befallen ist/sein könnte?

BlackLotus ist das hier (https://www.welivesecurity.com/deutsch/2023/03/01/blacklotus-uefi-bootkit-ist-kein-mythos-mehr/#vorbeugung-und-gegenmanahmen)

Gibt es ggf. tatsächlich ein seriöses Tool um das scannen zu können?

Ich konnte den Weg (https://www.microsoft.com/en-us/security/blog/2023/04/11/guidance-for-investigating-attacks-using-cve-2022-21894-the-blacklotus-campaign/) über mountvol [freiesLaufwerk:] /s finden.

Hab dann alle dort zu findenden .efi dateien mit certutil -hashfile gecheckt und da alle "zugänglich" sind und nicht "geblockt" werden, würde ich davon ausgehen dass kein BlackLotus BootKit im EFI versteckt ist?

Könnte das jemand mit mehr Verständnis ggf. bestätigen?

Dem Resultat wuerd ich jetzt noch nicht bedingungslos vertrauen.

Also kurz, beim Systemstart, faehrt erst die Firmware mit all dem Ring -1, TPM und krempel hoch, wenn das alles steht, uebergibt das UEFI die Kontrolle an den Bootloader weiter (das kann z.b. grub, uboot oder sogar ein linux sein) und dieser startet dann das OS. Dieser Bootloader liegt nun auf der von dir angeschauten EFI Partition.

Normalerweise fuehrt UEFI dabei nur durch den MOK signierte Software aus, Black Lotus rollt dabei auf dem System - in diesem Fall dann auf dem Mainboard gespeichert - seinen eigenen Key aus, so dass es von UEFI danach als Bootloader verwendet werden kann.

Es gibt jetzt aber erst mal keinen zwingenden Grund den Zugriff auf die .efi Dateien zu blockieren. Das war wohl mehr eine Methode, die vor 2 Jahren verwendet wurde, dass die BlackLotus-Datei eben nicht vom System geloescht wird. Aber nun, da diese Methode ja explizit geschildert wird, macht es ja keinen Sinn mehr den User damit taeuschen zu wollen, dass er auf die Dateien halt nicht zugreifen duerfe und es wuere fuere mich mehr Sinn ergeben, einfach zu hoffen, dass da halt nicht geloescht wird.

Meine Paranoia wuerde sogar behaupten, dass das ein kompromotiertes System ist und ich daher sowieso keiner Selbstanalyse traue. Vielleicht wurde eine 2. EFI Partition kreiert und Windows so manipuliert, dass die Partition mit Black Lotus gar nicht angezeigt wird.

Also, einfache Variante: Lad die .efi files noch irgendwo bei VirusTotal oder so hoch.

Paranoide Variante: Erstell auf einem sicheren Geraet einen USB Stick mit Linux, stoepsel im bestehenden System erst mal die Festplatte ab und boote vom USB Stick. Mach dich etwas mit SecureBoot (https://wiki.debian.org/SecureBoot) vertraut (https://wiki.archlinux.org/title/Unified_Extensible_Firmware_Interface/Secure_Boot) und ueberpruef dann, ob da ein ungewoehnlicher MOK ausgerollt wurde. Meistens findest du im BIOS/UEFI auch entsprechende Menus um die Keys usw. zu managen. Dann die normale Festplatte wieder einstoepseln, aber nochmal vom USB Stick booten und via dem Linux mit fdisk oder so kontrollieren, was da auf der WIndows Platte so fuer Partitionen existieren und vom gebooteten Linux aus die .efi Files nach VirusTotal oder so hochladen.

Die einfache Variante ist ja jetzt kein Aufwand und schadet nicht, die paranoide wohl etwas mehr Aufwand aber dafuer ziemlich sicher - da muesste schon das BIOS/UEFI selbst manipuliert worden sein und das wuerde dann ueber BlackLotus an sich hinaus gehen. Wenn du jetzt nicht gerade ein potentielles Ziel fuer Geheimdienste bist, wuerde ich eher bezweifeln dass da jemand so viel Aufwand betreibt.

Also, einfache Variante: Lad die .efi files noch irgendwo bei VirusTotal oder so hoch.


Hmm guter Punkt und einfach umsetzbar. Das werde ich noch machen.

nachdem ich die EFI mit mountvol gemountet habe kann ich die .EFIs einfach mit xcopy ....PfadQuelle PfadZiel kopieren nehm ich an (schon lang nicht mehr mit Kommandozeile kopiert)?

Also z.B. xcopy h:\EFI\*.efi U:\

H ist die gemountete EFI partition (ist ja nicht im Explorer sichtbar sondern nur über den mountvol /s befehl im Kommandofenster)

Die einfache Variante ist ja jetzt kein Aufwand und schadet nicht, die paranoide wohl etwas mehr Aufwand aber dafuer ziemlich sicher - da muesste schon das BIOS/UEFI selbst manipuliert worden sein und das wuerde dann ueber BlackLotus an sich hinaus gehen. Wenn du jetzt nicht gerade ein potentielles Ziel fuer Geheimdienste bist, wuerde ich eher bezweifeln dass da jemand so viel Aufwand betreibt.

Ja sehe ich auch so. Danke!

Ich gehe nicht davon aus, dass ich kompromittiert bin und ich bin auch nicht direkt ein Ziel von Geheimdiensten.

Ich habe das eher zufällig einfach mal getestet und dann machten mich aber die Datumsangaben der EFI files stutzig da diese nicht mit dem Datum der Windowsinstallation übereinstimmten sondern relativ neu sind (paar Tage/Wochen alt).

Aber evtl. liegt das daran dass ich ein BIOS Update eingespielt habe? (muss ich mal das Datum checken wann ich das getan habe).

Update: alle EFI files sind laut Virustotal unverdächtig...

Denke dass ich da eh schon zu paranoid bin/war, nur weil das Datum nicht mit der Systeminstallationszeit übereinstimmte bedeutet wohl erstmal wenig.

Vermutlich eben ein BIOS Update oder ein Windowsupdate das das EFI umschreibt/neuschreibt?

Vermutlich eben ein BIOS Update oder ein Windowsupdate das das EFI umschreibt/neuschreibt?

Jo, da liegen halt Bootloader / Kernel und so Zeug. Darum ist die auch FAT32 oder so, weil das System dann von so ziemlich jedem BIOS/UEFI gelesen werden kann.