От
KL FC Bot
Что может быть хуже успешной атаки шифровальщика-вымогателя на вашу компанию? Только инцидент, в котором страдают клиенты организации. Именно это произошло с крупным тайваньским производителем ноутбуков, видеокарт и материнских плат, компанией MSI. В начале апреля стало известно, что компанию атаковала новая ransomware-группировка Money Message, чуть позже вымогатели опубликовали в даркнете часть украденной информации, а уже в мае исследователи обнаружили внутри утечки самую неприятную ее часть — приватные ключи для подписи прошивок и ключи Intel Boot Guard. Сама MSI утечку признала, но информацией делилась крайне скупо и ключи не упомянула вообще. Мы постараемся дать чуть больше контекста.
Что такое ключи Boot Guard и как они защищают компьютер
Еще до того, как на компьютере загружается операционная система, он выполняет много подготовительных операций по инструкциям из чипа на материнской плате. Раньше этот механизм назывался BIOS, но затем ему на смену пришла расширяемая архитектура UEFI. Код UEFI является частью прошивки устройства, но дополнительные модули также могут загружаться со специального раздела жесткого диска. Дальше UEFI загружает непосредственно операционную систему. Если злоумышленники модифицируют UEFI, то операционная система, пользовательские приложения и все системы защиты будут загружаться после вредоносного кода, под его контролем. Атакующие смогут обходить все последующие слои защиты, такие как шифрование дисков (Bitlocker), контролируемая загрузка (Secure boot) и системы защиты уровня ОС, например антивирусы и EDR.
Такие угрозы называются имплантами уровня BIOS (иногда еще «аппаратными буткитами«), и их крайне сложно обнаружить, а избавиться от них — еще сложнее. Даже замена жесткого диска на абсолютно новый не избавит от вредоносного ПО.
View the full article
От Dante
От ska79
От KL FC Bot
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти