Материнская плата имеет собственную микросхему памяти — флэш-память SPI, которая содержит программное обеспечение, необходимое для запуска компьютера и поддержки основного аппаратного оснащения. Вредонос внедряется в SPI и может запускаться после переустановки операционной системы и форматирования жёсткого диска. В отчёте компании «Лаборатория Касперского» говорится, что MoonBounce был создан хакерской группой под названием APT41. Из других источников известно, что они связаны с китайским правительством. Буткит впервые обнаружили весной 2021 года, он намного совершеннее, чем два предыдущих вредоноса такого же типа — LoJax и MosaicRegressor.
Как MoonBounce получает доступ к UEFI
Целью MoonBounce является компонент прошивки CORE_DXE, его запуск осуществляется в самом начале при загрузке UEFI. Затем вредоносное ПО перехватывает определённые функции, чтобы внедрить себя в операционную систему, и обращается на удалённый сервер, запрашивая дальнейшие указания. Это приводит к доставке полезной нагрузки следующего этапа для нейтрализации безопасности системы. Атака происходит, когда вредоносная программа модифицирует компонент прошивки UEFI. Злоумышленники могут использовать её для слежки за пользователями, архивирования файлов, сбора информации и так далее. Примечательно, что антивирус «Лаборатории Касперского» не смог отследить заражение на жёстком диске, то есть этот процесс происходит в памяти, не касаясь файлов.
Как предотвратить заражение UEFI
Есть несколько простых способов предотвратить заражение UEFI вредоносным ПО, таким как MoonBounce. Первое, что нужно сделать, — включить безопасную загрузку. Возможно, не зря Microsoft сделала TPM 2.0 обязательным требованием для Windows 11. Установка пароля для доступа к UEFI заблокирует несанкционированные обновления прошивки, тем самым обеспечив дополнительный уровень защиты.
Буткиты в UEFI сложно удалить, поскольку антивирусные программы не работают без операционной системы, но нейтрализовать такие угрозы можно. Даже если не включить безопасную загрузку и не установить пароль, всегда можно перепрошить UEFI, чтобы избавиться от вредоносного ПО. Для этого нужно зайти на сайт производителя материнской платы или ноутбука, найти свою модель и скачать прошивку. Обязательно стоит сверить все данные по материнской плате / ноутбуку, поскольку установка неправильной прошивки может привести к печальным последствиям.
Материалы по теме:
- Сравниваем излучение телефонов: как оно влияет на организм и стоит ли остерегаться
Какой ПК собрать в декабре 2021: лучшие геймерские сборки под любой бюджет
Apple и Google недооценивают акселерометр — идеальный инструмент для слежки. Он в каждом смартфоне
Какой ПК собрать в ноябре 2021: лучшие игровые сборки на любой бюджет
Какой ПК собрать в октябре 2021: лучшие геймерские сборки под любой бюджет
Источник: