UEFI-буткит ESPecter бэкдорит Windows с 2012 года
Главная » Новости

UEFI-буткит ESPecter бэкдорит Windows с 2012 года

Татьяна Никитина 06 Октября 2021 - 08:49
...
UEFI-буткит ESPecter бэкдорит Windows с 2012 года

Исследователи из ESET обнаружили новый, никем не описанный буткит для UEFI, который устанавливается в систему посредством компрометации диспетчера загрузки Windows. Как оказалось, зловред, получивший кодовое имя ESPecter, был создан как минимум в 2012 году и вначале был ориентирован на системы с BIOS.

Буткит позволяет установить контроль над процессом загрузки ОС и обеспечивает хакеру очень стойкое присутствие в системе. Тем не менее, злоумышленники редко применяют такие инструменты: их создание требует хорошей технической подготовки. До находки ESET специалистам по ИБ были известны только четыре случая использования буткита в атаках: Lojax, MosaicRegressor, безымянные модули TrickBot и FinSpy.

Вредонос ESPecter, по словам экспертов, был обнаружен на взломанной машине вместе с клиентским компонентом, обладающим функциями кейлоггера и инфостилера. По всей видимости, атака была проведена с целью шпионажа.

Исследование показало, что новый буткит может устанавливаться в систему двумя способами: посредством подмены главной загрузочной записи на диске (в Legacy-режиме) или через патчинг диспетчера загрузки Windows (bootmgfw.efi).

Версия ESPecter, внедряемая в системный раздел EFI, готовит рабочую среду для целевого зловреда, загружая собственный драйвер режима ядра, способный обойти обязательную проверку цифровой подписи. Этот драйвер, в свою очередь, загружает два компонента режима пользователя — WinSys.dll и Client.dll.

Первый отвечает за сбор информации о зараженной системе и обновление данных конфигурации. Второй работает как бэкдор; он умеет по команде фиксировать клавиатурный ввод, воровать документы, делать снимки экрана, а также автоматически выводить собранную информацию на свой сервер.

 

Модификация bootmgfw.efi, по свидетельству ESET, возможна только при отключенном режиме безопасной загрузки. Чтобы деактивировать Secure Boot, злоумышленник должен иметь физический доступ к компьютеру либо использовать какую-то уязвимость в прошивке UEFI.

Каким именно образом был внедрен найденный ESPecter, установить не удалось. Во избежание подобных атак эксперты советуют по возможности придерживаться следующих правил:

  • использовать только новейшую версию прошивки;
  • следить за настройками системы;
  • ужесточить контроль доступа к привилегированным аккаунтам;
  • не отключать режим Secure Boot.
Следующая главная новость »
AM LiveРоссийские системы виртуализации — подробнее в эфире AM Live. Регистрируйтесь! »

DLP-система InfoWatch получила инструмент для полного трекинга файлов
Екатерина Быстрова 30 Января 2026 - 12:49
InfoWatch Traffic Monitor Корпорации Системы защиты от утечек конфиденциальной информации (DLP) InfoWatch
DLP-система InfoWatch получила инструмент для полного трекинга файлов

ГК InfoWatch получила свидетельство РЦИС на новое техническое решение, которое расширяет возможности визуальной аналитики в DLP-системе InfoWatch Traffic Monitor. Речь идёт о технологии «InfoWatch Vision. Маршруты движения файлов», официально зарегистрированной как объект интеллектуальной собственности.

Новинка стала частью модуля визуальной аналитики InfoWatch Vision и заметно упрощает расследование инцидентов, связанных с документами.

Технология автоматически выстраивает всю цепочку событий вокруг текстового файла — от его создания до возможных перемещений, копирований и изменений, которые фиксирует DLP-система.

Ключевая особенность решения — умение «узнавать» документ даже в сложных сценариях. Файл можно переименовать, слегка отредактировать или сохранить в другом текстовом формате, но система всё равно сможет отследить его дальнейшую судьбу. Для этого анализируется именно содержимое документа, а не только его имя или метаданные.

Вся собранная информация сводится в наглядную интерактивную схему, доступную в интерфейсе «Центра расследований». Это позволяет специалистам по ИБ быстрее разобраться в ситуации и увидеть полную картину движения файла без ручного сопоставления разрозненных событий.

Как отмечают в InfoWatch, технология рассчитана на сквозной анализ и охватывает весь жизненный цикл текстового документа, делая расследования более прозрачными и удобными.

AM LiveРоссийские системы виртуализации — подробнее в эфире AM Live. Регистрируйтесь! »
В Google Chrome теперь можно выключать ИИ-защиту от спама
Новость
В Google Chrome теперь можно выключать ИИ-защиту от спама
Bloody Wolf атакует Кыргызстан и Узбекистан через поддельные документы
Новость
Bloody Wolf атакует Кыргызстан и Узбекистан через поддельные...
Почти половина кибератак на промышленность в России оказалась успешной
Новость
Почти половина кибератак на промышленность в России оказалас...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.