Переустановка операционной системы уже не поможет. Новые функции Glubteba стали устойчивее за счет активного UEFI-буткита

Пост опубликован в блогах iXBT.com, его автор не имеет отношения к редакции iXBT.com
| Прочее | Программы, сервисы и сайты

Некогда известный ботнет Glupteba приобрел новую функцию UEFI-буткита, благодаря которой выдерживает защиту антивирусов и почти не определяется «защитниками» системы. Вредоносное ПО теперь способно встраиваться в процессы загрузки ОС и скрываться до того момента, когда оно не потребуется. При этом большая часть антивирусов будет просто бесполезна для обнаружения, лечения или удаления.

Автор: @kandinsky21_bot

Многофункциональный вредонос Glupteba не только ворует личную информацию пользователя, но и полезен для майнинга на устройствах, кражи банковских данных, учетных записей, он способен крутить рекламу и даже атаковать удаленные роутеры для получения доступа к соседним сетям. В некоторых версиях Glupteba можно встретить блокчейн Bitcoin и резервный канал для управления, поэтому его довольно сложно локализовать и заблокировать.

Вредонос Glupteba распространяется несколькими цепями, что почти сводит на нет все попытки обнаружения антивирусными средствами. К примеру, это могут быть сервисы с получением оплаты за установку (pay-per-install) или через пиратский PrivateLoader, когда на устройство жертвы устанавливался еще и SmokeLoader, который, в свою очередь, подгружает RedLine Stealer и Amadey, со всеми вытекающими последствиями.

Заражение происходит по цепочке, которую можно увидеть ниже.

Источник: unit42.paloaltonetworks.com

Несмотря на высокую защиту от антивирусных средств, разработчики смогли поработать еще и над UEFI-загрузчиком, который используется через EfiGuard, в свою очередь, отключает возможности проверки подписи драйверов при загрузке. В ранних версиях Glubteba действовал по другой схеме. Подгружалось ядро драйвера руткита и ботнет, воздействующий на защиту, зараженного устройства.

С каждой версией Glubteba все больше развивается и получает новые функции скрывающие ее действия. Это на руку киберпреступникам, потому как с появлением UEFI открываются новые возможности распространения вредоносного программного обеспечения и обхода блокировок со стороны защитных средств. А использование систем PPI дает возможности для широкого распространения среди пользователей и запуска монетизации при массовом заражении гаджетов.

Источник: https://unit42.paloaltonetworks.com

36 комментариев

cool.ivan
Чего делаем? Ждем когда пропатчат UEFI? Может новое поколение, котороые исправит ошибки?
bobster-vit
Чего делаем? Ждем когда пропатчат UEFI? Может новое поколение, котороые исправит ошибки?

не появится ли с новой версией еще хуже косяки, раз до UEFI добрались
lexus08
Какой то компьютерный ковид
bobster-vit
Какой то компьютерный ковид

Такой же опасный
112169983442202488143@google
И такой же «случайный» xD
M
Голову лечи, любитель теорий заговора.
117858697346927161612@google
Голову лечи, любитель теорий заговора.

Точно, точно, в мире «розовых пони» всё случайно. И болезни, и пища, и лекарства. А Биг Фарма все делает исключительно из человеколюбия… Иди, ширяйся дальше, овец нужно стричь по расписанию..)))
112169983442202488143@google
Это США сделали против Китая
113187828097166534914@google
а в итоге больше всех пострадало США
100187121503506164156@google
Все эти «не устранимые» вирусы не устранимы только первое время) не надо преувеличивать и приукрашивать возможности)
bobster-vit
Все эти «не устранимые» вирусы не устранимы только первое время) не надо преувеличивать и приукрашивать возможности)

Возможности чего?
Когда уйдет информация, будет уже поздно
l
Одни страшилки, а проверяться то чем?
D
А разве сейчас можно что-то без необходимой цифровой подписи записать в биос материнки? Я так понимаю, с современным железом такое не прокатит, если производитель ключи не слил.
107498969950007324636@google
UEFI shell для всех открыт, там есть функционал в том числе хранения (пару сотен килобайтов), и доступ к интернету. То есть должен помочь простой сброс
107498969950007324636@google
ЗЫ. Про ключи.
С вероятностью процентов в 90, память с загрузчиком перепишется без проверок.
Софт для прошивки из под os не имеет особых защит.
Ещё проще, встроить скрипт прошивки в загрузчик ос, там точно никаких проверок не будет.
Аппаратной проверки почти никогда нет.
Это всё к тому, что для этих действий никакие доступы от вендоров и производителей не требуются.
a
Из мутного текста статьи понятно только, что речь идет про загрузчик uefi, то есть то, что загружается перед запуском ОС, а не про саму «прошивку». В большинстве случаев попытка что-то перепрошить приведет только к невозможности загрузки. Так как практически все тома uefi защищены контролем целостности с неизвестным закрытым ключом. Плюс все варианты для прошивки «из под os» несовместимы друг с другом, сейчас чаще используют системозависимые «коллбеки» прошивальщика из самого uefi. А он-то уж подписи и т.п. проверяет в первую очередь. Но даже если что-то и получится записать, используя несовместимые между собой способы «прошивки», то работать это скорее всего все равно не будет.
Maskot
Пусть играются. Винт форматнуть и все дела.)))
114123970270489646998@google
у вас биос на винте? может, внимательно прочитать?
a
Разговор идет про загрузчик UEFI. А не про сам UEFI. В большинстве случаев тупая модификация чего-либо в UEFI невозможна без дополнительного отключения механизмов проверки целостности и в любом случае непереносима. Не говоря уже про кучу несовместимых вариантов для прошивки всего этого.
D
А если у меня нету UEFI Биоса? y меня самый обычный Phoenix BIOS
R
Но если это не совсем старая плата, то там наверняка есть пункт активации UEFI режима(который по дефолту вроде как выключен). И если у тебя win10,11 то возможно он у тебя включен.
У меня такой пункт был в Биос ноута HP года так 2013 и пока не включил UEFI режим не хотела ставится 10я винда
D
У меня вообще материнка не поддерживает 10-ую винду но она установилась, материнка 2012 года, ASUS M5A78L-M LX-3. Пункта нету в Биоса такого, весь перекопал Биос и не нашел.
a
Так обычную «mbr» загрузку никто не отменял. У вин загрузка UEFI за каким-то хреном при установке принудительно завязана на GPT формат диска. А так замечательно грузится и в режиме uefi с mbr (только обычно нужен раздел fat32 для загрузчика). В современных uefi часто как раз csm выпиливают…
a
В 2012 должен быть uefi. Где-то в меню boot, должны быть настройки csm. Legacy/UEFI. А, блин, это амудэ, да только legacy загрузка. Так что этот «аццкий троян» загрузчик не заразит, слишком «современный».)
a
Это hp. ) Они все могли изуродовать, включая csm. Либо не хватало каких-то драйверов в инсталляторе, типа usb или с чего вы там ее ставили.
117498993759958862541@google
Надо_было_ставить_линукс.ЖПГ
87638502@vkontakte
Записываться в загрузочный сектор только для чтения? Что же сразу не в биос))).
112508438963733747395@google
Вот кого надо в ядро профессий ставить, а не своих племянников, сыночков.
s
«При этом большая часть антивирусов будет просто бесполезна для обнаружения, лечения или удаления.» А какие антивири входят в «меньшую» часть интересно?
107458942091098679273@google
По сути по возможности отключается от интернета и сети, ничего не качать от слова совсем очень не рекомендуется особенно из неофициальных источников с сайтом типа хрен пойми что, хотя успешно маскируются пол абсолютно любой сайт, короче провод сети снимаем, отключение на физическом уровне хоть как-то гарантирует хоть что-то.
101321602412232328427@google
За 50 жизнь только 2 раза серьёзно выловил вирус. И косячная 11 Майка скачал активация поверхностная аваст за понековал и вычислил 3 клёчика а для чего они удалил и активация сдохла. Пришлось самому до пилевать активацию. Посмотрел на холостом ходу память не жрёт значит норм. Ваш Китай Иванович
107804906427671488504@google
Тебе бы учебник русского языка почитать, а не статьи в интернетах этих наших. И тем более не лить кровь из наших глаз, своими комментариями.
100790093682335749257@google
Чекни его ник и комментарии на остальные статьи, это же обычный Иван город Тверь, Китай удар круто Россия плохо мало зарплата мало риса
a
С чего бы? При установке системы обычно все эти загрузчики удаляются и перезаписываются. Или вас напугало слово UEFI? Так это только вариант загрузки, не путайте с Firmware (который и есть UEFI, а не «загрузчик UEFI»)).

Добавить комментарий

Сейчас на главной

Новости

Публикации

Обзор веб-камеры Ugreen 2К: автофокус, два микрофона, удобное крепление

Веб-камера Ugreen представляет собой качественное устройство для видеосвязи и стриминга. Она имеет компактный пластиковый корпус в сочетании серого и чёрного цветов, который обеспечивает надёжную...

Выставка Computex 2024 на Тайване, взгляд визитера. Часть 2 -Произведения искусства в виде ПК, стенды ASrock, MSI, Manli. Leadtek, Зал2, центр Тайбэя

Ежегодная выставка IT-технологий и компаний Computex 2024 на Тайване. Стенды ASRock, MSI, Manli, Leadtek, Общее по Залу 1, Зал 2 кратко, прогулка по Тайбэю: Мемориальный комплекс Чан Кай Ши,...

Почему наш спорт превратился в рекламный трэш. Мнение болельщика

Знаете, я иногда не прочь посмотреть футбол, в том числе — отечественный. Недавно включил очередной матч, и поймал себя на странной мысли: это уже не футболисты, а бегающие по огромному...

Что делать, если вам пришел штраф за чужое нарушение?

Сейчас за ситуацией на дорогах следят не дорожные инспектора. Систему автоматизировали, отдав водителей на попечительство бездушной технике. Камеры видеонаблюдения, расположенные в местах с...

Как подобрать идеальную тормозную жидкость для автомобиля

Пришло время замены тормозной жидкости в вашем автомобиле, и вот вы стоите перед полкой в автомагазине, озадаченные разнообразием канистр. Как не потеряться среди всего этого многообразия и сделать...

Куда исчезают снегири летом?

Снегирь — символ зимы, ее сказочной красоты. Вьюга метет, деревья стоят в белоснежном убранстве, а на ветке яркой рябины сидит он, красавец-снегирь, с алым грудкой и черной шапочкой. Но...