🚢 Приветствуем Вас на нашем трекере..🚢...Наш Девиз...Лучшее уже тут...☏...Присоединяйтесь...☏

 

[Цитировать]

С доступом к прошивке UEFI злоумышленник может установить персистентность на системе, чтобы защититься от переустановки ОС.-
Разработчики ботнета TrickBot создали новый модуль, который может искать уязвимости в UEFI (Extensible Firmware Interface) — интерфейсе между операционной системой и прошивкой, управляющей низкоуровневыми функциями оборудования.
Имея доступ к прошивке UEFI, злоумышленник может установить на скомпрометированном компьютере персистентность, чтобы защититься от переустановки операционной системы или замены накопителей. Вредоносный код, внедренный в прошивку, невидим для защитных решений, работающих поверх операционной системы, потому что он загружается на самом раннем этапе загрузки компьютера. Такой код позволяет контролировать процесс загрузки операционной системы и саботировать защиту на более высоком уровне. Поскольку код выполняется на самой ранней стадии, механизм Secure Boot не помогает, так как он зависит от целостности прошивки.
В совместном отчете специалисты из Advanced Intelligence (AdvIntel) и Eclypsium, представили технические подробности нового компонента TrickBot. TrickBoot — средство разведки, проверяющее наличие уязвимостей в прошивке UEFI зараженного устройства. Пока проверка нацелена только на платформы Intel (Skylake, Kaby Lake, Coffee Lake, Comet Lake). Новый модуль проверяет, активна ли защита от записи UEFI/BIOS, с помощью драйвера RwDrv.sys от RWEverything (бесплатная утилита, обеспечивающая доступ к аппаратным компонентам.
«Все запросы к прошивке UEFI, хранящейся в микросхеме флэш-памяти SPI, проходят через контроллер SPI, который является частью семейства Platform Controller Hub (PCH) на платформах Intel. Этот контроллер SPI включает механизмы контроля доступа, которые можно заблокировать во время процесса загрузки, чтобы предотвратить несанкционированное изменение прошивки UEFI, хранящейся в микросхеме флэш-памяти SPI», — пояснили эксперты.
По словам исследователей, защита от записи BIOS/UEFI доступна на современных системах, но эта функция часто не активна или настроена неправильно, что позволяет злоумышленникам изменить прошивку или удалить ее, чтобы заблокировать устройство.
Последствия, связанные с получением злоумышленником такой персистентности на устройстве, чрезвычайно опасные, особенно в случае TrickBot. Помимо использования имплантатов UEFI в качестве рычага в переговорах по увеличению цены выкупа, киберпреступники могут сохранить доступ к машинам даже после того, как жертва заплатит им за доступ к взломанным системам.
После того как жертва завершит процессы очистки и восстановления, преступники могут воспользоваться своей персистентностью для запуска новой атаки. Они также могут похитить вновь установленные учетные данные и продать их другой группировке.
Источник


Показать сообщения:    

Текущее время: 20-Апр 08:30

Часовой пояс: UTC + 3


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

!ВНИМАНИЕ!
Сайт не предоставляет электронные версии произведений, а занимается лишь коллекционированием и каталогизацией ссылок, присылаемых и публикуемых на форуме нашими читателями. Если вы являетесь правообладателем какого-либо представленного материала и не желаете, чтобы ссылка на него находилась в нашем каталоге, свяжитесь с нами, и мы незамедлительно удалим ее. Файлы для обмена на трекере предоставлены пользователями сайта, и администрация не несет ответственности за их содержание. Просьба не заливать файлы, защищенные авторскими правами, а также файлы нелегального содержания!