Ниже ядра, ниже EDR: как BlackLotus и CosmicStrand живут там, куда защитники никогда не заглядывают.Привыкли работать на уровне ring 0? BlackLotus обходит Secure Boot на полностью обновлённой Windows 11, а CosmicStrand прописывается в SPI-флеше материнской платы — переустановка ОС и замена диска ему безразличны. Persistence ниже всего, что ты привык мониторить...
UEFI буткит и защита Secure Boot: разбор BlackLotus, CosmicStrand и атак на цепочку загрузки
Источник: codeby.net