ESPecter проникає через чорний хід і обходить класичні антивірусні рішення. Дослідники ESET виявили нову форму шкідливого програмного забезпечення UEFI. Новий варіант шкідливого ПЗ вкладається в системний розділ EFI (ESP).
За допомогою ESPecter експерти європейського виробника ІТ-безпеки виявили так званий комплект завантаження UEFI, який обходить підпис драйвера Windows і може завантажувати власний непідписаний драйвер, що значно полегшує шпигунську діяльність. Поточний буткіт є подальшим розвитком зловмисного програмного забезпечення UEFI, раніше виявленого ESET. Рішення безпеки ESET із вбудованим сканером UEFI захищають приватні та корпоративні комп’ютери від цієї потенційної вразливості.
ESPecter працює з 2012 року
«Ми змогли простежити коріння ESPecter до 2012 року. Раніше програма-шпигун використовувалася для систем із застарілим BIOS. Незважаючи на тривале існування, ESPecter і його операції, а також оновлення до UEFI залишалися непоміченими протягом тривалого часу», — говорить дослідник ESET Антон Черепанов, який разом із Мартіном Смоляром відкрив набір завантажувачів UEFI.
Подібний варіант вже використовувався раніше
ESPecter було виявлено на скомпрометованій машині разом із функцією клавіатурного журналу та викрадення документів. З цієї причини дослідники ESET припускають, що ESPecter в основному використовується для шпигунських цілей. Використовуючи телеметрію ESET, дослідники ESET змогли датувати початок цього буткіта щонайменше 2012 роком. Цікаво, що компоненти шкідливої програми майже не змінилися за ці роки. Відмінності між версіями 2012 і 2020 не такі значні, як можна було б очікувати. Після багатьох років досить незначних змін розробники ESPecter, здається, вирішили перевести своє шкідливе програмне забезпечення із застарілих систем BIOS на сучасні системи UEFI.
Поради щодо захисту від буткітів UEFI
«ESPecter показує, що розробники, які стоять за шкідливим програмним забезпеченням, покладаються на вкладення в мікропрограмне забезпечення UEFI і виконують незважаючи на існуючі механізми безпеки. За допомогою UEFI Secure Boot такі методи можна легко заблокувати», – продовжує Мартін Смолар. Для захисту від ESPecter або подібних загроз ESET радить користувачам дотримуватися цих простих правил:
- Завжди використовуйте останню версію мікропрограми.
- Переконайтеся, що систему правильно налаштовано та безпечне завантаження ввімкнено.
- Налаштуйте керування привілейованими обліковими записами (PAM) у компанії, щоб запобігти доступу зловмисників до привілейованих облікових записів, необхідних для встановлення буткіта.
Використання рішення безпеки зі сканером UEFI також захищає від таких загроз. ESET використовує цю технологію за замовчуванням у своїх корпоративних і домашніх рішеннях для захисту кінцевих точок.
Більше на ESET.com
Про ESET ESET – європейська компанія зі штаб-квартирою в Братиславі (Словаччина). З 1987 року ESET розробляє відзначене нагородами програмне забезпечення безпеки, яке вже допомогло понад 100 мільйонам користувачів користуватися безпечними технологіями. Широке портфоліо продуктів безпеки охоплює всі основні платформи та пропонує компаніям і споживачам у всьому світі ідеальний баланс між продуктивністю та проактивним захистом. Компанія має глобальну мережу продажів у понад 180 країнах і офіси в Єні, Сан-Дієго, Сінгапурі та Буенос-Айресі. Для отримання додаткової інформації відвідайте www.eset.de або слідкуйте за нами в LinkedIn, Facebook і Twitter.