Uefi partition что это вирус
Эксперты в области информационной безопасности, обследуя предприятие Sednit, выявили первый экземпляр руткита, нацеленного на Windows Unified Extensible Firmware Interface.
Фредерик Вахон, исследователь вредоносного ПО в ESET, опубликовал технический отчёт по этому руткиту, назвав уязвимость «значительной».
Поражение UEFI означает, что зловред может выживать во флэш-памяти материнской платы, оставаясь неуязвимым и скрытым при переустановке ОС. При этом впервые выявлен активно действующий зловред такого типа, хотя возможность его существования предполагалась ещё на этапе разработки концепции UEFI.
Руткит получил имя LoJax. Он является модифицированной версией утилиты LoJack от Absolute Software. Эта утилита, внедряясь в UEFI, предназначена для поиска украденных ноутбуков и позволяет тайно отследить местоположение устройства. В рутките применяется код утилиты образца 2009 года, который имел ошибки, позволившие Sednit получать доступ к загрузке ПО восстановления, для чего потребовалось изменить единственный байт.
Цепь заражения традиционна. Атакующие через фишинг принуждают пользователя запустить файл rpcnetp.exe, который затем добирается до браузера Internet Explorer, используемого для связи с доменами конфигурации.
Вахон пояснил: «Как только я захожу на машину, я могу использовать этот инструмент для размещения руткита в UEFI». Хакерский инструмент имеет привилегии поставщика прошивки, что позволяет удалённо перешить BIOS . Он добавил: «Руткит UEFI расположен во флэш-памяти в зоне BIOS , ответственной за последовательный интерфейс (SPI)».
Где находится раздел EFI в Windows 10?
Если вы ищете раздел EFI в проводнике , вы, вероятно, его не найдете. Раздел EFI ценен, поэтому он скрыт. Но найти это не так уж и сложно.
Что еще произошло
The Register напоминает об окончании поддержки производителем почтового сервера Microsoft Exchange 2010. Авторы статьи отмечают, что из сети на данный момент доступны 139 тысяч серверов, обновления безопасности для которых скоро прекратятся. А Threatpost пишет о том, что обнаруженная в январе уязвимость в панели управления Microsoft Exchange (версий 2013–2019) до сих пор не закрыта на 61% серверов.
В ПО HP Device Manager для управления тонкими клиентами этой компании обнаружен бэкдор, а точнее, сервисный аккаунт, забытый разработчиком.
Несмотря на усилия Google, варианты вредоносного ПО Joker продолжают время от времени проходить верификацию магазина приложений Google Play. Зловред, как правило, подписывает жертв на платные услуги без их ведома.
Вы когда-нибудь копались в своем компьютере и находили разделы или дисковые тома , о существовании которых вы не знали? Или вы заметили, что установка Windows состоит из двух разделов; большой и меньший? Маленький - 100 МБ или 600 МБ. Что это? Тебе это нужно? Что ж, это раздел EFI, и короткий ответ - да, он вам нужен.
Что такое UEFI и в чем опасность буткита
Если попробовать упростить, можно сказать, что UEFI (как и BIOS, которой UEFI пришла на смену) — это ПО, которое запускается при старте компьютера, еще до запуска самой операционной системы. При этом оно хранится не на жестком диске, а на отдельном чипе материнской платы. Если злоумышленникам удается модифицировать код UEFI, то они потенциально могут использовать его для доставки вредоносного программного обеспечения в систему жертвы.
В ходе описываемой кампании мы обнаружили именно такой случай. Причем для создания своих модифицированных прошивок UEFI злоумышленники использовали исходники утекшего в сеть буткита группы HackingTeam — VectorEDK. Несмотря на то, что в открытом доступе исходные коды оказались еще в 2015 году, мы до сих пор не видели свидетельств его использования злоумышленниками.
При запуске системы буткит размещает в папке автозагрузки системы вредоносный файл IntelUpdate.exe, который затем загружает и устанавливает на ПК компоненты MosaicRegressor. Учитывая «обособленность» UEFI, даже при обнаружении этого вредоносного файла избавиться от него практически невозможно. Не поможет ни его удаление, ни переустановка системы. Единственный способ решить проблему — перепрошивка материнской платы.
Комментарии
'В рутките применяется код утилиты образца 2009 года'.Не уж-то компании производители упустили сей факт ась?
Ага, останется. Ды щаз! А скачать родную прошиву БИОС с сайта производителя, прошить и запретить перезапись значит не судьба?
Этот руткит появился ещё в 2009 году. А почему только сейчас его заметили, странно. Была такая программка для пожизненной активации WINDOWS 7 через BIOS, многие тогда купились на эту дрянь. И я тоже. Так и жил, что раз в три месяца переустанавливал ОС и перепрошивал BIOS. А всё без толку. Глючили по очереди жесткие диски, повреждались файлы, которые ещё вчера были доступными, а сегодня почему-то запрашивали уровень администратора. Любителям активаторов посвящается. Пришлось идти к нормальным мастерам и перепаивать микросхему. Ад закончился. Двойной BIOS от Gigabyte ещё как-то справлялся с таким вирусом, а прочие заражались на раз. Симптомы "болезни" - пропадает доступ в интернет, комп начинает жить своей жизнью, меняется время, закрывается доступ к файлам, шифруется жесткий диск и т.д. Программа перепрошивки BIOS начинает работу с начала, потом прерывается, делает пропуск и продолжает прошивку с середины (это видно по работе).
-
Maxim Fakov 12 февраля 2019 года, 07:58
Ахахах Активировать винду из под биос ? Ахахах Ну смешно вить а ? Ахахах ну просто смешно, кто купился еще смешнее ))) Биос и Uefi это не много разные программульки скажем так. Отвечают за одно и тоже а вот сделаны технически по разному и тот руткит о котором Вы говорите не мог работать на Uefi. Пере прошивать надо программатором а не программулиной скачанной с вирусного сайта и еще самим файлом биоса тоже в который встроен вирус ))))) Вы пытаетесь на зараженной машине пере прошить биос где лежит сам вирус Ахахахах
Не лопни от смеха
Кирил, речь о том что на компьютере по сути создаётся нестиранмвй диск, на котором можно хранить информацию о вашем компьютере, списки пароли, небольшие файлы, вирусы - которые сновой силой заработают после переустановки операционнки. А Биос можно перепрошить так что из компьютера сделать монстра.
А что так коротко? Описали-бы, как он работает, возможно ли с ним бороться и его побочку (какие проблемы с компьютером он создает). А то просто рассказали, что он может перепрошить уефи отдаленно, ну и что? Что в этом такого плохого? Какие проблемы это вызовет?
-
Vasily Ryabov 8 февраля 2019 года, 18:51
ну раньше всегда был способ побороть ЛЮБЫЕ-ВСЕ вирусы на компе —- форматнуть или вообще поменять Винчестеры . Отныне - это уже не защитит - вирус останется в материнской плате.
Василий, Не надо лезть туда куда не понимаете. Биос пере прошить и все в норму придет. Уж не такая и трагедия и если сравнивать с шифровальщиками так это детский лепет.
Максим, вот только для выявления вируса нужно вызывать специалистов. А у нас даже на предприятиях пиратское ПО
Михаил, Штрафы огромные для предприятий с пиратскими программами
А можно по подробнее. Ибо довольно-таки интересный конспект. (Не поймите неправильно)
Недавно аналитики ESET обнаружили первый в истории руткит для UEFI. Это новый и очень опасный тип вредоносных программ, который атакует компьютер до запуска Windows. В этом случае не поможет ни переустановка ОС, ни замена жесткого диска.
Ранее теоретические возможности руткитов для UEFI обсуждались только на конференциях по информационной безопасности. Сегодня киберпреступники используют их в реальных атаках.
Поэтому в новой версии ESET NOD32 для домашних пользователей мы усовершенствовали модуль «Сканер UEFI». Например, теперь пользователь может запустить «Сканер UEFI» вручную прямо в интерфейсе антивируса.
Однако большинство пользователей слабо представляют, что такое UEFI, чем он отличается от BIOS и зачем их защищать. Попробуем разобраться!
Со времени своего создания BIOS почти не развивался качественно. Выходили отдельные дополнения и расширения. Например, ACPI — усовершенствованный интерфейс управления конфигурацией и питанием (англ. Advanced Configuration and Power Interface).
Этот интерфейс упрощал установку BIOS и управление питанием, а также переходом в спящий режим. Однако этого было недостаточно, BIOS безнадежно застрял во временах MS-DOS. Например, BIOS может загружаться только с дисков объемом менее 2,1 Тб. Кроме того, у него есть проблемы с одновременной инициализацией нескольких аппаратных устройств, что приводит к замедлению загрузки на компьютерах с современными комплектующими.
В 1998 году компания Intel впервые задумалась о замене BIOS и начала работу над Extensible Firmware Interface (EFI) для недооцененной серии 64-разрядных процессоров Itanium. Для распространения нового интерфейса требовалась широкая поддержка всей отрасли. Apple выбрали EFI для Mac еще в 2006 году, но другие производители не последовали их примеру.
UEFI к нам приходит
UEFI поддерживает эмуляцию BIOS, так что у пользователей остается возможность работать на устаревших ОС остается (прим. ред. — это небезопасно!)
Новый стандарт позволяет избежать ограничений BIOS. UEFI может загружать ОС с дисков, объем которых превышает 2,2 Тб. Фактический предел для них составляет 9,4 зеттабайт . Это примерно в три раза превышает предполагаемый объем всех данных в Интернете.
UEFI поддерживает 32-битный или 64-битный режимы, а его адресное пространство больше, чем у BIOS – что значительно ускоряет загрузку. Кроме того, экран настройки UEFI обладает более гибким функционалом с поддержкой мыши и пользовательским интерфейсом.
Поддержка Secure Boot позволяет проверить, что загрузку ОС не изменила вредоносная программа. UEFI позволяет проводить удаленную настройку и отладку. BIOS так не умеет.
По сути, UEFI — самостоятельная операционная система, работающая поверх прошивки ПК. Она может храниться во флэш-памяти на материнской плате или загружаться из других источников (жесткий диск и другие носители).
Материнские платы с UEFI от разных производителей будут иметь разный интерфейс и функционал. Все зависит от конкретной модели, но базовые настройки будут одинаковыми для любого компьютера.
Как открыть настройки UEFI?
Для обычных пользователей переход от BIOS к UEFI прошел незаметно. Новый ПК будет просто быстрее загружаться при включении. Однако если вам понадобился доступ UEFI, то он будет отличаться в зависимости от операционной системы.
Windows 8
- Нажмите Win + C
- Настройки — Изменить настройки ПК
- В разделе «Настройки ПК» выберите «Общие»
- В разделе «Расширенный пуск» щелкните «Перезагрузить»
- После перезагрузки появится меню загрузки Windows 8
- В меню загрузки выберите «Поиск неисправности» — «Расширенные настройки» — «Настройка прошивки UEFI»
- Для перезагрузки системы и входа в UEFI нажмите «Перезагрузка»
Windows 10
В Win 10 в UEFI можно попытаться зайти по старинке:
- Нажмите и удерживайте кнопку питания 5 секунд
- Как только на экране появится логотип, быстро нажимайте F2 или DEL (на некоторых моделях ноутбуков клавиши могут быть другими)
Доступ из операционной системы:
- В поле поиска введите «Параметры»
- Настройки — Обновление и безопасность — Восстановление
- В разделе «Особые варианты загрузки» нажмите «Перезагрузить сейчас»
- Система перезагрузится и покажет меню загрузки Windows 10
- Устранение неполадок — Дополнительные параметры — Параметры UEFI
- Для перезагрузки системы и входа в UEFI нажмите «Перезагрузка»
Чтобы включить или отключить (чего мы делать не рекомендуем!) модуль «Сканер UEFI»:
Расширенные параметры (F5) — Модуль обнаружения — Процессы сканирования вредоносных программ
Расширенные параметры (F5) — Модуль обнаружения — Защита файловой системы в режиме реального времени
Эксперты «Лаборатории Касперского» опубликовали интересное исследование, посвященное вредоносному коду MosaicRegressor. Код использует предположительно киберкриминальная группа с китайскими корнями, он интересен тем, что содержит модули для заражения компьютера через UEFI. Подобные буткиты по-прежнему считаются одними из наиболее сложных видов вредоносного ПО. В случае успешного заражения они позволяют повторно заражать операционную систему даже после переустановки.
В данном случае было обнаружено несколько образов UEFI с уже встроенным вредоносным кодом. Этот код имеет единственную функцию — добавляет содержащийся внутри файл в папку автозагрузки ОС Windows. Дальнейшая атака развивается по типичному кибершпионскому сценарию, с кражей документов и отправкой иных данных на командные серверы. Еще один неожиданный нюанс данного исследования: вредоносный код в UEFI использует исходники, ранее попавшие в открытый доступ в результате взлома инфраструктуры компании Hacking Team.
В зараженных образах UEFI были обнаружены четыре модуля, как показано на скриншоте выше. Два выполняют сервисные функции, в том числе отвечают за запуск вредоносного кода в нужный момент (прямо перед загрузкой операционной системы). Еще один представляет собой драйвер для файловой системы NTFS. Основной вредоносный модуль содержит в себе файл IntelUpdate.exe, который прописывается на SSD или жесткий диск в директорию автозапуска Windows.
Два сервисных модуля и драйвер, судя по всему, позаимствованы из кода Vector-EDK. Это буткит, исходные коды которого попали в открытый доступ после масштабной утечки данных из компании Hacking Team. Эта организация, занимающаяся разработкой методов атаки на компьютерные системы по заказу государственных органов, сама подверглась взлому в 2015 году, в результате чего в открытый доступ попала как внутренняя переписка, так и обширная база знаний.
К сожалению, идентифицировать метод заражения UEFI исследователям не удалось. Среди нескольких десятков жертв MosaicRegressor всего два пострадавших компьютера имели видоизмененный базовый загрузчик. Если опираться на ту же утечку из Hacking Team, то там предлагается заражение вручную, путем подключения к компьютеру USB-флешки, с которой загружается UEFI «с довеском». Удаленный патч UEFI исключать нельзя, но для этого понадобилось бы взломать процесс загрузки и инсталляции обновлений.
Устанавливаемый на атакованные компьютеры шпионский модуль подключается к командному центру и скачивает необходимые для дальнейшей работы модули. Например, один из механизмов забирает недавно открытые документы, пакует их в архив с паролем и отправляет организаторам. Еще один интересный момент: для связи используются как традиционные методы коммуникации с управляющими серверами, так и работа через публичный почтовый сервис по протоколу POP3S/SMTP/IMAPS. Через почту происходит как загрузка модулей, так и отправка данных организаторам атаки.
Следует ли мне удалить раздел EFI?
Если вы видите раздел EFI и думаете: «Мой компьютер мог бы использовать дополнительные 100 МБ. Давайте удалим это », не делайте этого. Windows отлично справляется с удалением раздела EFI. но ты можешь сделать это. Без EFI BIOS будет думать, что Windows не существует, и компьютер не запустится должным образом. Кроме того, имеет ли значение получение дополнительных 100 МБ свободного дискового пространства ? Между облачным хранилищем и недорогими дисками емкостью 1 ТБ + нам не нужны эти 100 МБ. Будь как будет.
Используйте Управление дисками, чтобы найти раздел EFI
Управление дисками - это утилита Windows для разбиения на разделы, изменения размера, переименования и форматирования дисков .
Злоумышленники применяют сложный вредоносный фреймворк, который помимо всего прочего использует и инструменты, утекшие у HackingTeam.
Недавно наши исследователи обнаружили сложную целевую атаку, направленную на дипломатические учреждения и общественные организации в Африке, Азии и Европе. Насколько они смогли определить, все жертвы так или иначе имели отношение к Северной Корее — будь то через какую-либо некоммерческую активность в этой стране или же через дипломатические связи.
В этой атаке злоумышленники использовали сложный модульный шпионский фреймворк, который мы назвали MosaicRegressor. В процессе расследования нам удалось выяснить, что в некоторых случаях вредоносное ПО попадало на компьютеры жертв способом, который крайне редко встречается «в дикой природе»: с помощью модифицированных UEFI. Впрочем, это был не единственный способ доставки вредоноса в ОС: в большинстве случаев атакующие применяли более традиционный метод — целевой фишинг.
Что такое раздел EFI в Windows 10?
Мы говорим Windows 10 , но разделы EFI были частью предыдущих версий Windows, а также частью других операционных систем (ОС), таких как Linux и macOS .
EFI расшифровывается как Extensible Firmware Interface . Как видно из названия, EFI соединяет ОС с прошивкой аппаратных компонентов компьютера. Думайте о прошивке как о мозге в каждом элементе оборудования. Расширяемая часть имени говорит нам, что EFI можно изменять для разных ситуаций.
В настоящее время большинство устройств Windows используют UEFI BIOS (базовая система ввода / вывода с унифицированным расширяемым интерфейсом микропрограмм). Подобрать версию BIOS для вашего компьютера несложно . Только устройства Windows, использующие UEFI BIOS, будут иметь раздел EFI. Система Windows без UEFI BIOS включает загрузочную информацию в основной раздел.
Когда мы запускаем компьютер, Windows не запускается сразу. Сначала запускается BIOS. Что такое биос ? Это минимальная ОС, которая живет на микросхеме. Пробуждает оборудование и прошивку. Затем BIOS ищет раздел EFI, чтобы получить инструкции по запуску и взаимодействию с Windows.
Раздел EFI содержит важные файлы и утилиты, такие как:
- Загрузчики : запускают процесс загрузки, системные утилиты, драйверы устройств и проверяют их совместную работу.
- Драйверы устройств : сообщают Windows, как взаимодействовать с различными аппаратными компонентами.
- Файлы данных : содержат информацию о процессе загрузки и связанные журналы.
- Системные утилиты : небольшие программы, помогающие запускать и запускать Windows.
- Данные BitLocker : при использовании BitLocker для шифрования диска секрет будет храниться здесь, и он будет взаимодействовать с TPM (доверенным платформенным модулем) для шифрования и дешифрования диска. Возможно, вы слышали, что для Windows 11 требуется TPM 2.0 .
Когда раздел EFI успешно найден и процесс загрузки работает, запускается Windows.
Чем опасен MosaicRegressor
Независимо от того, каким способом компоненты MosaicRegressor проникали на компьютер жертвы — через скомпрометированный UEFI или при помощи целевого фишинга, — они подключались к командным серверам, скачивали дополнительные модули и запускали их. Далее эти модули использовались для кражи информации. Например, один из них собирал недавно открытые документы, архивировал их и отправлял авторам атаки.
Более подробный технический анализ вредоносного фреймворка MosaicRegressor вместе с индикаторами компрометации доступен на сайте Securelist.
Как защититься от MosaicRegressor
Чтобы не стать жертвой MosaicRegressor, в первую очередь, следует бороться с попытками целевого фишинга, ведь большая часть сложных атак начинается именно так. Для максимально эффективной защиты рабочих компьютеров мы бы рекомендовали совмещать защитные продукты с продвинутыми антифишинговыми технологиями, а также повышать осведомленность сотрудников об атаках такого типа.
Вредоносные модули, занимающиеся кражей информации, наши защитные решения успешно выявляют.
Что касается скомпрометированных прошивок, то мы, к сожалению, не знаем точно, каким образом буткит попадал на компьютеры жертв. Основываясь на данных из утечки HackingTeam, можно предположить, что для этого злоумышленникам требовался физический доступ к компьютеру жертвы. А именно — его загрузка с USB-носителя. Однако не исключено, что есть и другие методы компрометации UEFI.
Для защиты от UEFI-буткита MosaicRegressor у нас есть следующие рекомендации:
Читайте также: