MoonBounce — новый вирус, поражающий прошивку UEFI

Moonbounce

Зараженный вирусом компьютер можно вылечить, тщательно просканировав содержимое всех системных разделов, включая область жесткого диска, содержащую главную загрузочную запись. В крайнем случае диск можно отформатировать, уничтожив не только файлы, но и таблицу разделов. Однако существуют вирусы, способные выжить даже после полного форматирования диска. Это может показаться невероятным и так оно и есть.

Потому что новый вирус, обнаруженный весной 2021 года и получивший название MoonBounce, поражает не саму Windows, а прошивку UEFI.

Мишенью этого необычного буткита является микросхема памяти SPI, содержащая служебное программное обеспечение, обеспечивающее запуск компьютера и передачу управления им операционной системе. Проникнув на компьютер, MoonBounce при включении последнего перехватывает ряд функций в таблице служб загрузки EFI и перенаправляет их во вредоносный код, который в свою очередь создает хуки в загрузчике операционной системе. Модифицировав загрузчик, вредонос проникает в адресное пространство ядра Windows, внедряя в него свой драйвер, который затем заражает процесс svchost.exe в пользовательском режиме.

Примечание: каким образом MoonBounce попадает на компьютер пока что точно неизвестно, предполагается, что заражение происходит через удаленный доступ к целевому компьютеру.

Получив таким образом контроль над операционной системой, MoonBounce обращается к удаленному серверу, запрашивая дальнейшие инструкции, которые могут носить самый разный характер. Вирус может использоваться для слежения за пользователем, сбора конфиденциальной информации, вторичного заражения системы другим вредоносным программным обеспечением и так далее. При этом вирус действует как руткит, он не обнаруживается сканированием дискового пространства антивирусными программами, поскольку действует в оперативной памяти, не оставляя следов в файловой системе.

MoonBounce UEFI

Цели хакерской группировки

Согласно отчетам компании «Лаборатория Касперского», MoonBounce был создан хакерской группой под названием APT41, следы которой ведут в Китай. В тех же отчетах указывается, что установленными на момент исследования целями создавших вирус злоумышленников является шпионаж и похищение с отдельных компьютеров конфиденциальной информации — персональных данных и интеллектуальной собственности.

Как защититься от MoonBounce

На данный момент вероятность заражения MoonBounce крайне мала, так как новый вирус не является сколь-либо распространенным. Нацелен вредонос прежде всего на корпоративные компьютеры, случаи заражения пользовательских компьютеров пока что не установлены. Что касается защиты от MoonBounce, здесь специалисты «Лаборатории Касперского» рекомендуют включить безопасную загрузку и использовать пароль для доступа к UEFI. Это предотвратит инъекцию вредоносного кода в ПО UEFI и несанкционированное обновление прошивки. Если же компьютер уже оказался зараженным MoonBounce или подобным ему поражающим UEFI буткитом, единственным способом удалить вредонос с компьютера будет перепрошивка микросхемы памяти SPI.

Оцените Статью:

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (3 оценок, среднее: 5,00 из 5)
Загрузка...

1 комментарий

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *