Специалисты из ESET в своем свежем подкасте обсудили ESPecter – один из немногих буткитов для UEFI.
https://www.securitylab.ru/upload/ib...2da8beb982.png
ESPecter – буткит, устанавливающийся в систему посредством компрометации диспетчера загрузки Windows. Аналитики ESET утверждают, что это второй в истории буткит, использующий ESP в качестве точки входа.
Согласно исследованиям специалистов, ESPecter был создан еще в 2012 году. Тогда вредонос использовался исключительно для атак на системы с BIOS. Только в 2020 году разработчики переписали буткит для атак на UEFI. Сравнив версии между собой, исследователи ESET заметили интересную особенность – за 8 лет компоненты вредоносного ПО почти не изменились.
В подкасте эксперты обсудили способ установки буткита в систему. По словам экспертов, после начала процесса установки начальные компоненты ESPecter изменяют компонент Windows Boot Manager и обходят Windows Driver Signature Enforcement (DSE), чтобы загрузить и запустить неподписанный вредоносный драйвер — фактическую полезную нагрузку буткита ESPecter. Этот драйвер содержит в себе два компонента — WinSys.dll и Client.dll, которые злоумышленники используют для поиска конфиденциальных файлов в локальной системе, периодического создания скриншотов и запуска кейлоггера.
В конце подкаста специалисты дали рекомендации по защите от буткитов. Вот их краткий список:<ul><li>Всегда используйте самую новую версию прошивки;</li>
</ul><ul><li>Не отключайте режим Secure Boot;</li>
</ul><ul><li>Следите за настройками системы.</li>
</ul>