Введение
Современные угрозы в мире кибербезопасности всё чаще стараются опуститься «ниже уровня радаров» — в буквальном смысле. Одной из таких областей становится прошивка материнской платы: UEFI (Unified Extensible Firmware Interface).
На конференции Black Hat USA 2025 исследователь Shota Matsuo представил доклад о новом классе угроз под названием Shade — платформе для загрузки зловредного ПО из UEFI, способной обходить почти все современные средства защиты.
Я постарался сделать краткий обзор Shade, но также оставляю ссылку на презентацию с его доклада.
Что такое Shade
Shade — это модульная UEFI-загрузка, позволяющая разворачивать малварь прямо из BIOS без взаимодействия с файловой системой ОС.
Преимущества:
-
Невидимость: антивирусы не видят активности;
-
Сохранение малвари даже после переустановки ОС;
-
Гибкость: поддержка модулей и загрузок из NVRAM.
Ключевые особенности
|
Характеристика |
Описание |
|---|---|
|
Bootkit на основе DXE |
Внедряется в драйверы на стадии DXE-фазы загрузки UEFI |
|
Payload из NVRAM |
Зловред хранится в энергонезависимой памяти |
|
OS-agnostic |
Работает независимо от ОС (Windows, Linux и др.) |
|
Runtime Injection |
Инжектирует код при загрузке ОС |
Как работает атака
-
Компрометация прошивки — через физический или удалённый доступ;
-
Инжект Shade в DXE-фазу — добавляется драйвер;
-
Сохранение Payload в NVRAM — не детектируется стандартными средствами;
-
Инъекция при старте ОС — UEFI подгружает и запускает вредоносный код.
Примеры в дикой природе
|
Имя |
Загрузчик UEFI |
Payload |
Обнаружена |
|---|---|---|---|
|
LoJax |
Да |
Cobalt Strike Beacon |
2018 (ESET) |
|
MoonBounce |
Да |
In-memory shellcode |
2021 (Kaspersky) |
|
CosmicStrand |
Да |
Userland trojan loader |
2022 (Kaspersky) |
|
Shade |
Да |
Любой (модульный) |
2025 (BlackHat USA) |
Кто в зоне риска?
-
Госсектор и критическая инфраструктура;
-
IT-компании, облачные провайдеры, дата-центры;
-
Производственные цепочки (supply chain);
-
Серверы и рабочие станции с UEFI-прошивкой от вендора.
Как защититься
1. Контроль целостности прошивки:
-
Использовать Intel Boot Guard или аналогичные технологии.
-
Проверка хэшей прошивки через TPM или внешние верификаторы.
2. Мониторинг NVRAM:
-
Подозрительные переменные (
EfiBadNvram,EfiStage1Payloadи др.)
3. Безопасное обновление BIOS:
-
Только с верифицированных источников или через внешние программаторы.
4. Антивирусы с поддержкой UEFI-анализа:
-
ESET, SentinelOne, Eclypsium, Kaspersky и др.
Хочешь проверить свою систему?
1. Используй CHIPSEC
CHIPSEC — это open-source фреймворк от Intel для анализа безопасности платформы, включая прошивки BIOS/UEFI, ACPI, SPI Flash и NVRAM.
Установка (Linux / Windows):
bash pip install chipsecПросмотр содержимого NVRAM:
bash chipsec_util nvram listВ случае Shade и похожих UEFI-загрузчиков, нужно искать подозрительные переменные, например:
-
EfiStage1Payload -
EfiBadNvram -
EfiRuntimePatch -
Переменные с нестандартными GUID’ами
2. Проверь целостности UEFI и SPI Flash
Проверь, были ли изменения в прошивке или есть ли скрытые разделы SPI.
bash chipsec_util spi dump spi_dump.binЗатем можно использовать:
bash chipsec_util spi verify spi_dump.binИли «вручную» сравни бинарник с оригинальной прошивкой от производителя.
Заключение
UEFI-малварь, и особенно такие платформы как Shade, демонстрируют, насколько хрупкими могут быть традиционные границы защиты. Если BIOS заражён — пользователь может даже не подозревать об этом, пока не станет слишком поздно.
«Если вы контролируете BIOS, вы контролируете всё.»
Больше новостей в моём Telegram. Подписывайтесь!
ссылка на оригинал статьи https://habr.com/ru/articles/935400/
Добавить комментарий