Инфобез. Якутия

Чем опасен буткит и как с ним бороться?

При внедрении вредоносного ПО в систему жертвы, злоумышленники практически всегда пытаются получить максимальное количество привилегий и при этом избежать обнаружения. Большинство средств защиты, способных обнаруживать и устранять вредоносов, запускаются вместе с операционной системой, поэтому если вредоносное ПО будет запускаться до загрузки ОС, то вероятность его обнаружения будет крайне мала. Чтобы охранить контроль и привилегии после переустановки ОС, вредоносный код загружают в низкоуровневое ПО — прошивку устройства или в первые секторы жесткого диска. Так и появились буткиты.

Что такое Буткит?


Буткит — это вредоносный код, который запускается до загрузки операционной системы. Основная цель буткита — закрепиться в системе и защитить другие вредоносные программы от обнаружения.

В противостоянии «вирус vs антивирус» есть одна любопытная игра – «царь горы». В компьютерных войнах победа достаётся тому, кто первым загрузился в память компьютера – он и царь горы. Он первым берёт контроль в свои руки: перехватывает системные вызовы, внедряется в них и тем самым получает полную власть над остальным пространством в компьютере. Остальные, которые появляются позже, работают под присмотром «хозяина» - который в состоянии «нарисовать» им любую реальность – прям как голливудская Матрица. - Евгений Касперский в статье о буткитах

Сейчас функции буткитов добавляются к разным вредоносным программам, например к вирусам шифровальщикам и ботнетам.

Как происходит заражение буткитом? 


В основном для доставки такого вредоносного ПО в инфраструктуру злоумышленники используют целенаправленный фишинг через электронную почту, а также через поддельные сайты и троянские вирусы. При заражении буткит записывается в загрузочный сектор, а его оригинальное содержимое переносится в другое место и зашифровывается. Далее при каждом запуске компьютера буткит будет загружать в память свои модули, содержащие вредоносный функционал и маскироваться.

Что может сделать буткит в вашей системе?


В основном буткиты обладают следующими функциями:

  • скрытая установка основной нагрузки, например, бэкдор в режиме пользователя;
  • сокрытие вредоносной активности, обход или даже отключение средств защиты;
  • загрузка дополнительных вредоносных ПО;
  • повышение привилегий в системе.

Меры, направленные на предотвращение заражением буткитами


  • Системы с устаревшим BIOS или модулем поддержки совместимости (CSM) должны быть переведены в родной режим UEFI;
  • Не производить загрузку ОС с использованием недоверенных носителей и не загружать прошивки, полученные из ненадежных источников.
  • Включите безопасную загрузку и сконфигурируйте её для аудита модулей прошивки, устройств расширения и загрузочных образов ОС;
  • Прошивка должна быть защищена с помощью пароля администратора, а также должна регулярно обновляться, как операционная система и приложения;
  • Используйте доверенный платформенный модуль (TPM) для проверки целостности прошивки и конфигурации безопасной загрузки
Просто о сложном мире информационных технологий и безопасности.
Подписывайся на нас и узнавай новости первым!

Страница ВКонтакте - Защита информации Якутии

Страница Одноклассники - Защита информации Якутии

Подписывайтесь на YouTube-канал - Защита информации Якутии

Rutube-канал - Защита информации Якутии

Telegram канал - Защита информации Якутии



2022-08-11 15:00 Полезно знать