Новости и события » Общество » Китайскоязычная программа 9 лет открывала хакерам доступ к ПК под Windows

Китайскоязычная программа 9 лет открывала хакерам доступ к ПК под Windows

Китайскоязычная программа 9 лет открывала хакерам доступ к ПК под Windows

Специалисты ESET нашли буткит, который использует интерфейс UEFI для обеспечения присутствия в системе и запуска до загрузки операционной системы. Подобные вредоносы пока еще остаются большой редкостью.

Постоянство присутствия

Специалисты словацкой фирмы ESET обнаружили ранее незадокументированный UEFI-буткит, которым неизвестные злоумышленники пользовались для установки бэкдоров в системы на базе Windows.

Буткит позволяет модифицировать менеджер загрузки Windows (BootManager) и тем самым обеспечивает злоумышленникам возможность постоянного присутствия в системе.

Эксперты ESET назвали буткит ESPecter, в частности, за то, что он подгружается в независимый от операционной системы раздел EFI (ESP), где хранятся загрузчики или образы ядра, файлы драйверов устройств и другие критические данные.

ESPecter также позволяет обходить систему проверки цифровой подписи драйверов (Microsoft Windows Driver Signature Enforcement) и подгружать свой собственный неподписанный драйвер, который затем может использоваться для выполнения шпионских действий, в том числе, вывода данных, перехвата сигналов от клавиатуры (кейлоггинга) и периодического снятия скриншотов.

Каким именно образом вредонос проникает в систему, пока остается неизвестным. ESET пока не установил происхождение группировки, стоящей за этим буткитом. Однако в коде обнаружились артефакты на китайском языке.

От BIOS к UEFI

Специалисты ESET установили, что ESPecter появился не позднее 2012 г. На тот момент он использовался в основном для атак на компьютеры под Windows со старыми BIOS. Авторы вредоносной программы постепенно добавляли поддержку новых версий Windows, почти ничего не меняя в основных модулях вредоноса.

Самое значительное изменение произошло в 2020 г., когда авторы ESPecter решили переключиться с BIOS-систем на современные UEFI.

UEFI - это интерфейс расширяемой прошивки между операционной системой и микропрограммами, управляющими низкоуровневыми функциями оборудования, чье основное назначение - корректно инициализировать оборудование при включении системы и передать управление загрузчику или непосредственно ядру операционной системы.

ESPecter - всего лишь четвертый известный вредонос, атакующий UEFI, после LoJax, Mosaic Regressor и FinFisher. Последняя из этих программ использует те же методы сохранения присутствия в зараженной системе, что и ESPecter: через модификацию менеджера загрузки Windows.

"Модифицируя менеджер загрузки Windows злоумышленники добиваются запуска вредоноса на ранних стадиях запуска, до того, как операционная система полностью загружена, - отмечают исследователи. - Это позволяет ESPecter обходить проверку подписи драйверов, чтобы запускать свой неподписанный драйвер при старте системы".

В старых системах с BIOS ESPecter менял код головной загрузочной записи (MBR), располагающейся в первом физическом секторе жесткого диска с тем, чтобы модифицировать менеджер загрузки и загрузить вредоносный драйвер ядра. Этот драйвер, в свою очередь, загружал дополнительные вредоносные модули и кейлоггер, а затем удалял себя из системы.

Вне зависимости от того, какой вариант используется, загрузка драйвера приводит к инъекции дополнительных компонентов в определенные системные процессы и установке соединения с удаленным контрольным сервером; фактически скомпрометированная система ставится под полный контроль злоумышленников, не говоря уже о том, что с удаленного сервера на нее могут устанавливаться всевозможные дополнительные вредоносы.

"UEFI создавался как более новая и защищенная альтернатива BIOS, учитывающая недостатки последнего, однако свои уязвимые места есть и там, - говорит Данила Каревский, эксперт по информационной безопасности компании SEQ. - Хотя количество известных вредоносов, способных компрометировать UEFI, пока очень невелико, со временем их явно будет становиться больше. Слишком лакомая цель, а защита часто далека от идеала".

Microsoft


Свежие новости Украины на сегодня и последние события в мире экономики и политики, культуры и спорта, технологий, здоровья, происшествий, авто и мото

Вверх