2021-10-07 11:39:20
Раскрыт таинственный бэкдор
UEFI Bootkit ESPecter. Исследователи по кибербезопасности из
ESET опубликовали детали ранее недокументированного буткита
UEFI (Unified Extensible Firmware Interface), который использовался злоумышленниками под
Windows еще в далеком
2012 году путем модификации легитимного двоичного файла
Windows Boot Manager.
Как мы знаем, всегда верхом мастерства и заманчивой целью для злоумышленников являлась возможность закрепиться в целевой системе еще до загрузки операционной системы.
Представители словацкого инфосека прозвали новое вредоносное
ПО ESPecter за его способность сохраняться в системном разделе
EFI (ESP), а также обходить принудительное использование подписи драйверов
Microsoft Windows для загрузки собственного неподписанного драйвера, который может использоваться для осуществления шпионских действий, например кражи информации, записи клавиатурных нажатий и мониторинга действий пользователя, периодически делая снимки экрана.
Удивительно, что механизм проникновения вредоносной программы пока неизвестен, несмотря на то, что корни
ESPecter можно проследить как минимум до
2012 года, когда он возник как буткит для систем с устаревшими версиями
BIOS. Причем авторы
malware регулярно добавляют поддержку новых версий
ОС Windows, практически не внося никаких изменений в модули вредоносного ПО.
По мнению специалистов, самое большое изменение произошло
в 2020 году, когда авторы
ESPecter, по-видимому, решили перенести свои вредоносные программы с устаревших систем
BIOS на современные системы
UEFI.
В системах, поддерживающих устаревший режим загрузки
BIOS,
ESPecter получал контроль, изменяя код основной загрузочной записи (
MBR), расположенный в первом физическом секторе диска, для внедрения вредоносного драйвера ядра, осуществляющего загрузку дополнительных модулей и настройки кейлоггера перед стиранием собственных следов с машины.
Независимо от используемого варианта
MBR или
UEFI, развертывание драйвера приводит к внедрению вредоносных компонентов в определенные системные процессы для установления связи с удаленным сервером. Таким образом, злоумышленники без проблем способны захватить скомпрометированный компьютер и взять над ним полное управление и контроль, не говоря уже о загрузке и выполнении других вредоносных программ или команд, полученных с сервера.
С нетерпением ждем от антивирусной компании
ESET (и не только), соответствующих рекомендаций и решений по безопасности, так как существующие механизмы безопасности, такие как
UEFI Secure Boot не в силах противостоять таинственному бэкдору.
25 views08:39