可将电脑变成“肉鸡”的黑莲花病毒（BlackLotus）-十一张

从Win8.1时代开始，安全启动（Secure Boot）进入大众视野，当电脑启动时，首先验证固件是否已经进行数字签名，从而降低rootkit的风险。然后安全启动会检查在操作系统之前运行的所有代码以及加载的程序是否数字签名、经过认证，如果程序可信则正常启动。从原理上看，这是一项非常安全的措施。

然鹅，斯洛伐克网络安全公司 ESET 在 2023 年 3 月报告称发现了一种劫持 UEFI 的恶意软件，并将其命名为 BlackLotus（黑莲花病毒），该漏洞编号为CVE-2023-24932。该恶意软件被认为是首个可以在 Windows 11 系统上绕过安全启动（Secure Boot）的 UEFI bootkit 恶意软件，设备一旦感染该恶意软件，就会在 Windows 11 系统中禁用 Defender、Bitlocker 和 HVCI 等防病毒软件，可以完全控制操作系统启动过程，还可以禁用操作系统级别的安全机制并在启动期间以高权限执行任意负载，将受害者的电脑变成“肉鸡”。

什么是“肉鸡”？被植入了木马程序的电脑，业内称之为“肉鸡”，意思是可以被黑客远程控制，并且可随意执行任何操作。一般情况下电脑成为“肉鸡”后，就成为黑客砧板上鱼肉，设备上储存的数据会被窃取，如果是未加保护的机密数据，一旦泄露会对机构造成的影响和损失将无法计算和挽回。

网络安全研究人员表示，黑莲花是“几乎无法检测到”的恶意软件，可以追溯到 2022 年 10 月，已被确认在黑客论坛上公开售卖，网络犯罪分子可以以 5000 美元的价格获得，这将对网络安全造成严重威胁。

黑莲花病毒（BlackLotus）是一种劫持UEFI固件的恶意程序，能够在操作系统启动前执行任意代码，从而绕过 Windows 11系统的安全启动（Secure Boot）保护。它利用了一个编号为CVE-2022-21894（又名Baton Drop）的漏洞来绕过 Windows 系统的UEFI安全启动保护并长期驻留在系统固件中，完全控制操作系统启动过程，并可禁用Windows Defender、BitLocker和HVCI等安全机制。该病毒体积小（约80KB），使用Assembly和C语言开发，并具备地理围栏功能，避免感染特定国家的计算机。

微软的五个阶段计划

为了修复这个漏洞，微软从 2023 年 5 月开始推出了阶段性补丁，并且由于修复措施会刷新 UEFI 固件、拉黑旧版 Windows 启动管理器，导致 2023 年 5 月 9 日之前的ISO镜像、U盘启动器、WinPE等都可能无法启动，因此微软给了用户很长的过渡期。最初微软计划分为三个阶段，后来调整为五个阶段。

五个阶段	内容
第一阶段（2023.5.9）	微软发布 KB5025885 更新，更新内容包括增加代码完整性启动策略，将禁止的数字签名数据库DBX写入UEFI，更新 Windows 启动管理器等。但该更新并未自动生效（可以手动更新），因为旧版的 Windows 启动管理器容易受到病毒攻击，微软通过拉黑DBX病毒暂时应对病毒攻击。如果该更新生效，只能启动新版 Windows 启动管理器，以前使用旧版ISO制作的U盘启动器和WinPE可能无法启动。
第二阶段（2023.7.11）	微软发布了 Windows 10（KB5028166）和 Windows 11（KB5028185）更新补丁，新增WinRE支持。更新完成之后，依旧没有任何变化，但相较于第一阶段更新，但是简化了手动生效的方法。
第三阶段（2024.4.9后）	吊销旧证书“Windows Production PCA 2011”，改用新证书“Windows UEFI CA 2023”签名启动管理器。
第四阶段（2024.7.9后）	鼓励客户主动部署缓解措施，并提醒旧证书即将过期。
第五阶段	强制执行！