ТЕХНІЧНИЙ ОПИС

Зловмисники можуть зловживати механізмами Pre-OS Boot як способом встановлення стійкості (Persistence) у системі. Під час процесу завантаження комп’ютера прошивка та різні служби запуску завантажуються раніше операційної системи. Ці програми контролюють потік виконання до того, як операційна система візьме контроль на себе.

Зловмисники можуть перезаписувати дані в завантажувальних драйверах або прошивках, таких як BIOS (Basic Input/Output System) та UEFI (Unified Extensible Firmware Interface), щоб закріпитися в системах на рівні нижче операційної системи. Це може бути особливо важко виявити, оскільки шкідливе ПЗ на цьому рівні не буде виявлено хостовими засобами захисту на базі програмного забезпечення.

Чому це найнебезпечніша форма Persistence?

  • Повна невидимість: Антивірус працює «всередині» ОС. Шкідливий код у UEFI працює «зовні» та «під» ОС, тому він може просто брехати антивірусу про стан файлів або пам’яті.
  • Неймовірна стійкість: Форматування диска, видалення розділів або навіть заміна SSD не допоможуть — вірус живе в мікросхемі на материнській платі.
  • Вимкнення Secure Boot: Зловмисник може модифікувати ключі безпечного завантаження, щоб система вважала шкідливі драйвери легітимними.

Як це виглядає на практиці?

  • Bootkits: Модифікація головного завантажувального запису (MBR). Щоразу при включенні ПК спочатку виконується код хакера, який завантажує вірус у пам’ять, а вже потім запускає Windows.
  • UEFI Implants: Прошивка BIOS модифікується так, щоб при кожному старті вона шукала файл explorer.exe на диску і впорскувала в нього шкідливий код.

Як захиститися?

  • Hardware Root of Trust: Використання сучасних процесорів та чипів TPM 2.0.
  • UEFI Password: Встановлення пароля на зміну налаштувань BIOS/UEFI.
  • Secure Boot: Обов’язкове ввімкнення режиму безпечного завантаження, який перевіряє цифрові підписи кожного компонента перед запуском.
  • Firmware Updates: Регулярне оновлення BIOS/UEFI від виробника для виправлення вразливостей, що дозволяють запис у прошивку.