Буткит
Что такое Буткит?
БуткитВредоносное ПО, заражающее процесс загрузки (MBR, VBR или UEFI), чтобы загружаться раньше ОС и обеспечивать устойчивый привилегированный контроль.
Буткит — специализированный руткит, компрометирующий ранние компоненты загрузки: MBR, VBR или прошивку UEFI. Поскольку он выполняется раньше ОС и средств защиты, он может отключать защитные механизмы, перехватывать код ядра и переживать переустановку системы. Современные буткиты атакуют переменные UEFI и системный раздел EFI. Для обнаружения нужны проверка целостности прошивки, Secure/Measured Boot с TPM-аттестацией и офлайн-форензика загрузочного носителя. Меры защиты: UEFI Secure Boot с актуальными списками отзыва, пароли BIOS/прошивки, отключение устаревшей CSM-загрузки и полнодисковое шифрование для обнаружения вмешательства в цепочку загрузки.
● Примеры
- 01
BlackLotus — UEFI-буткит, обходящий Secure Boot на пропатченных системах.
- 02
MoonBounce — имплант прошивки UEFI уровня APT.
● Частые вопросы
Что такое Буткит?
Вредоносное ПО, заражающее процесс загрузки (MBR, VBR или UEFI), чтобы загружаться раньше ОС и обеспечивать устойчивый привилегированный контроль. Относится к категории Вредоносное ПО в кибербезопасности.
Что означает Буткит?
Вредоносное ПО, заражающее процесс загрузки (MBR, VBR или UEFI), чтобы загружаться раньше ОС и обеспечивать устойчивый привилегированный контроль.
Как защититься от Буткит?
Защита от Буткит обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Буткит?
Распространённые альтернативные названия: Boot-руткит, MBR-руткит.