UEFI-буткит ESPecter бэкдорит Windows с 2012 года

Татьяна Никитина 06 Октября 2021 - 08:49

...

Исследователи из ESET обнаружили новый, никем не описанный буткит для UEFI, который устанавливается в систему посредством компрометации диспетчера загрузки Windows. Как оказалось, зловред, получивший кодовое имя ESPecter, был создан как минимум в 2012 году и вначале был ориентирован на системы с BIOS.

Буткит позволяет установить контроль над процессом загрузки ОС и обеспечивает хакеру очень стойкое присутствие в системе. Тем не менее, злоумышленники редко применяют такие инструменты: их создание требует хорошей технической подготовки. До находки ESET специалистам по ИБ были известны только четыре случая использования буткита в атаках: Lojax, MosaicRegressor, безымянные модули TrickBot и FinSpy.

Вредонос ESPecter, по словам экспертов, был обнаружен на взломанной машине вместе с клиентским компонентом, обладающим функциями кейлоггера и инфостилера. По всей видимости, атака была проведена с целью шпионажа.

Исследование показало, что новый буткит может устанавливаться в систему двумя способами: посредством подмены главной загрузочной записи на диске (в Legacy-режиме) или через патчинг диспетчера загрузки Windows (bootmgfw.efi).

Версия ESPecter, внедряемая в системный раздел EFI, готовит рабочую среду для целевого зловреда, загружая собственный драйвер режима ядра, способный обойти обязательную проверку цифровой подписи. Этот драйвер, в свою очередь, загружает два компонента режима пользователя — WinSys.dll и Client.dll.

Первый отвечает за сбор информации о зараженной системе и обновление данных конфигурации. Второй работает как бэкдор; он умеет по команде фиксировать клавиатурный ввод, воровать документы, делать снимки экрана, а также автоматически выводить собранную информацию на свой сервер.

Модификация bootmgfw.efi, по свидетельству ESET, возможна только при отключенном режиме безопасной загрузки. Чтобы деактивировать Secure Boot, злоумышленник должен иметь физический доступ к компьютеру либо использовать какую-то уязвимость в прошивке UEFI.

Каким именно образом был внедрен найденный ESPecter, установить не удалось. Во избежание подобных атак эксперты советуют по возможности придерживаться следующих правил:

использовать только новейшую версию прошивки;
следить за настройками системы;
ужесточить контроль доступа к привилегированным аккаунтам;
не отключать режим Secure Boot.

Следующая главная новость »

Российские альтернативы Microsoft Office: чем они отличаются и как выбрать? Расскажем на AM Live! Регистрируйтесь »

Яков Шпунт 11 Декабря 2025 - 10:23

Общее Средства защиты веб-сайтов (приложений)Управление процессами безопасной разработки (ASOC)Безопасная разработка приложений (DevSecOps)

Уровень проникновения РБПО за 5 лет вырос почти на порядок

По данным организаторов конференции «День безопасной разработки ПО», которая проходит уже в пятый раз, за время существования форума уровень внедрения технологий разработки безопасного ПО (РБПО) вырос почти на порядок — как минимум в пять раз.

В приветственном слове на открытии мероприятия исполнительный директор Ассоциации разработчиков программных продуктов (АРПП) «Отечественный софт» Ренат Лашин отметил, что пять лет назад практики безопасной разработки использовали лишь немногие компании, тогда как к 2025 году их число существенно увеличилось.

При этом выросло не только количество организаций, внедряющих РБПО, но и глубина применения этих технологий у тех, кто начал трансформацию раньше.

Директор Института системного программирования РАН Арутюн Аветисян назвал расширение практики РБПО общей заслугой бизнеса, научного сообщества и государства в лице регуляторов. По его словам, сегодня к безопасной разработке приходят даже небольшие компании, тогда как ранее подобные практики были характерны прежде всего для крупных игроков.

Модератор конференции, руководитель комитета по информационной безопасности АРПП «Отечественный софт», директор по стратегии и развитию технологий Axiom JDK Роман Карпов оценил уровень проникновения технологий РБПО примерно в 20% — именно столько компаний используют этот подход полноценно. Однако в сегментах разработки ИБ-инструментов и системного ПО этот показатель близок к 100%, что во многом связано с регуляторными требованиями.

В то же время уровень сертификации процессов разработки остаётся невысоким. По неофициальным данным, озвученным в кулуарах форума, ФСТЭК отклоняет примерно половину заявок из тех, что уже успела рассмотреть. Представители регулятора ранее подчёркивали, что оценка соответствия будет строгой.

Российские альтернативы Microsoft Office: чем они отличаются и как выбрать? Расскажем на AM Live! Регистрируйтесь »