UEFI-руткит
Что такое UEFI-руткит?
UEFI-руткитРуткит, размещаемый в прошивке UEFI; запускается до ОС, переживает вайп диска и обходит большинство средств защиты конечных точек.
UEFI-руткит закрепляется в Unified Extensible Firmware Interface — современном преемнике BIOS, — обычно в модулях SPI-флэш или загрузочных драйверах. Он выполняется до операционной системы, поэтому может отключать средства защиты, изменять загрузочные компоненты и снова разворачивать другое ВПО после переустановки ОС. Такие импланты обычно размещают хорошо обеспеченные группы — через права ядра, физический доступ или компрометацию цепочки поставок. Защита: принудительный Secure Boot, подписанные обновления прошивки, Measured Boot с TPM-аттестацией, утилиты целостности от производителей (например, CHIPSEC), Boot Guard, защита от записи BIOS и контроль целостности в цепочке обновлений прошивки.
● Примеры
- 01
LoJax — первый публично известный UEFI-руткит, обнаруженный в реальной атаке.
- 02
UEFI-буткиты MoonBounce и BlackLotus, нацеленные на предприятия.
● Частые вопросы
Что такое UEFI-руткит?
Руткит, размещаемый в прошивке UEFI; запускается до ОС, переживает вайп диска и обходит большинство средств защиты конечных точек. Относится к категории Вредоносное ПО в кибербезопасности.
Что означает UEFI-руткит?
Руткит, размещаемый в прошивке UEFI; запускается до ОС, переживает вайп диска и обходит большинство средств защиты конечных точек.
Как защититься от UEFI-руткит?
Защита от UEFI-руткит обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия UEFI-руткит?
Распространённые альтернативные названия: UEFI-имплантат, EFI-буткит.