UEFI Bootkit ESPecter

Это очень крутая и интересная новость.

Во вторник исследователи кибербезопасности раскрыли подробности ранее недокументированного буткита UEFI (Unified Extensible Firmware Interface), который злоумышленники использовали для лазейки систем Windows еще в 2012 году путем модификации легитимного двоичного файла Windows Boot Manager для достижения устойчивости, что еще раз продемонстрировало как технология, предназначенная для защиты среды перед загрузкой операционной системы, все чаще становится «заманчивой целью».

Словацкая компания по кибербезопасности ESET назвала новое вредоносное ПО ESPecter за его способность сохраняться в системном разделе EFI ( ESP ), а также обходить принудительное использование подписи драйверов Microsoft Windows для загрузки собственного неподписанного драйвера, который может использоваться для облегчения шпионских действий, таких как документируйте кражу, кейлоггеры и мониторинг экрана, периодически делая снимки экрана. Маршрут проникновения вредоносной программы пока неизвестен.

adPlace

«ESPecter показывает, что злоумышленники полагаются не только на имплантаты встроенного ПО UEFI, когда речь идет о сохранении предустановленной ОС, и, несмотря на существующие механизмы безопасности, такие как UEFI Secure Boot, они вкладывают свое время в создание вредоносных программ, которые можно было бы легко заблокировать с помощью таких механизмов, если включены и настроены правильно,»ESET исследователи Мартин Смоляр и Антон Черепанов сказали в технической рецензии , опубликованный во вторник.

Корни ESPecter можно проследить, по крайней мере, до 2012 года, когда он возник как буткит для систем с устаревшими BIOS, его авторы постоянно добавляют поддержку новых версий ОС Windows, практически не внося никаких изменений в модули вредоносного ПО. Самое большое изменение произошло в 2020 году, когда «те, кто стоял за ESPecter, по-видимому, решили перенести свое вредоносное ПО с устаревших систем BIOS на современные системы UEFI».

Эта разработка знаменует собой четвертый раз, когда были обнаружены реальные случаи вредоносного ПО UEFI, после LoJax , MosaicRegressor и совсем недавно FinFisher , последний из которых был обнаружен с использованием того же метода компрометации для сохранения ESP в виде исправленный диспетчер загрузки Windows.

продолжение в оригинале (eng)