UEFI-буткит ESPecter бэкдорит Windows с 2012 года

Татьяна Никитина 06 Октября 2021 - 08:49

...

Исследователи из ESET обнаружили новый, никем не описанный буткит для UEFI, который устанавливается в систему посредством компрометации диспетчера загрузки Windows. Как оказалось, зловред, получивший кодовое имя ESPecter, был создан как минимум в 2012 году и вначале был ориентирован на системы с BIOS.

Буткит позволяет установить контроль над процессом загрузки ОС и обеспечивает хакеру очень стойкое присутствие в системе. Тем не менее, злоумышленники редко применяют такие инструменты: их создание требует хорошей технической подготовки. До находки ESET специалистам по ИБ были известны только четыре случая использования буткита в атаках: Lojax, MosaicRegressor, безымянные модули TrickBot и FinSpy.

Вредонос ESPecter, по словам экспертов, был обнаружен на взломанной машине вместе с клиентским компонентом, обладающим функциями кейлоггера и инфостилера. По всей видимости, атака была проведена с целью шпионажа.

Исследование показало, что новый буткит может устанавливаться в систему двумя способами: посредством подмены главной загрузочной записи на диске (в Legacy-режиме) или через патчинг диспетчера загрузки Windows (bootmgfw.efi).

Версия ESPecter, внедряемая в системный раздел EFI, готовит рабочую среду для целевого зловреда, загружая собственный драйвер режима ядра, способный обойти обязательную проверку цифровой подписи. Этот драйвер, в свою очередь, загружает два компонента режима пользователя — WinSys.dll и Client.dll.

Первый отвечает за сбор информации о зараженной системе и обновление данных конфигурации. Второй работает как бэкдор; он умеет по команде фиксировать клавиатурный ввод, воровать документы, делать снимки экрана, а также автоматически выводить собранную информацию на свой сервер.

Модификация bootmgfw.efi, по свидетельству ESET, возможна только при отключенном режиме безопасной загрузки. Чтобы деактивировать Secure Boot, злоумышленник должен иметь физический доступ к компьютеру либо использовать какую-то уязвимость в прошивке UEFI.

Каким именно образом был внедрен найденный ESPecter, установить не удалось. Во избежание подобных атак эксперты советуют по возможности придерживаться следующих правил:

использовать только новейшую версию прошивки;
следить за настройками системы;
ужесточить контроль доступа к привилегированным аккаунтам;
не отключать режим Secure Boot.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 01 Ноября 2025 - 09:18

Мошенничество Онлайн-мошенничество Общее Защита от мошенничества

Психологи СГУ научились измерять уязвимость человека к кибервоздействию

В Саратовском государственном университете имени Н. Г. Чернышевского создали методику, которая помогает определить, насколько человек подвержен влиянию в интернете. Разработка может использоваться для профилактики мошенничества и в сфере кибербезопасности, сообщили в пресс-службе вуза.

Методика, как сообщает ТАСС, представляет собой опросник, позволяющий понять, насколько человек склонен доверять чужому мнению онлайн и без раздумий выполнять «указания» из Сети.

По словам разработчиков, инструмент может применяться в колледжах и вузах для раннего выявления повышенной уязвимости, а также в социальных службах, бизнесе и при создании антимошеннических коммуникаций — например, предупреждающих сообщений, адаптированных под конкретную аудиторию.

«Понимание механики подчинения в сети помогает разрабатывать сообщения, рассчитанные на профилактику опасных установок, — отметили в СГУ. — Методика будет полезна не только специалистам по безопасности, но и родителям, педагогам и психологам».

Исследованием руководила профессор кафедры социальной психологии образования и развития Татьяна Белых. Она пояснила, что в обычной жизни дезадаптивная подчиняемость проявляется как слепое следование указаниям «авторитетов», которое может идти вразрез со здравым смыслом и собственными ценностями. В интернете это часто проявляется в доверчивом поведении — от «звонков из банка» и фейковых инвестиций до участия в сомнительных флешмобах.

Учёные превратили эту уязвимость в измеряемый показатель. На основе реальных примеров сетевого воздействия они сформировали 39 утверждений о причинах послушного поведения онлайн, из которых после статистической обработки оставили 19. В исследовании участвовали 550 человек из разных регионов России — от Москвы до Грозного.

Методика выделяет три типа подчиняемости:

импульсивно-отзывчивый — человек быстро откликается на просьбы и реагирует на «важные» сигналы;
тревожно-чувствительный — проявляется в повышенной мнительности и готовности действовать «ради спокойствия»;
конформно-наивный — вера в безусловную надёжность онлайн-авторитетов и желание «быть как все».

«Не интернет делает нас послушнее, — подчёркивает Татьяна Белых. — Всё зависит от нашей психологической готовности и умения сопротивляться давлению в Сети».

Исследование выполнено при поддержке Российского научного фонда.