6 ответов в этой теме

[cocs]

В большинстве случаев, да, традиционный антивирус, работающий внутри операционной системы, практически бессилен против уже активного UEFI-руткита.

Вот почему:

1. Порядок загрузки: UEFI-руткит загружается до операционной системы и, следовательно, до антивирусной программы. К тому моменту, как антивирус начнет свою работу, руткит уже может контролировать систему на самом низком уровне.
2. Местоположение: Руткит находится в прошивке (SPI-флеш на материнской плате), а не на жестком диске, где антивирусы обычно ищут вредоносный код. Стандартные антивирусные сканеры не предназначены для анализа содержимого прошивки UEFI.
3. Маскировка: UEFI-руткит может модифицировать компоненты операционной системы во время ее загрузки или даже вмешиваться в работу самого антивируса, чтобы скрыть свое присутствие или отключить защиту.
4. Ограничения антивирусов: Антивирусы работают с определенными привилегиями внутри ОС. Код, работающий на уровне UEFI, имеет гораздо более глубокий доступ и контроль над аппаратным обеспечением.

Однако есть некоторые нюансы и развивающиеся технологии:

⦁ Специализированные сканеры UEFI: Некоторые вендоры антивирусного ПО (например, ESET, Kaspersky) разрабатывают или уже имеют технологии, способные сканировать прошивку UEFI на наличие известных угроз. Эти сканеры могут быть частью их продуктов или отдельными утилитами, часто запускаемыми из загрузочной среды. Но это не стандартная функция большинства антивирусов "из коробки".
⦁ Обнаружение поведения/полезной нагрузки: Если UEFI-руткит загружает в операционную систему другую вредоносную программу (полезную нагрузку), то антивирус может обнаружить эту вторичную инфекцию. Однако сам UEFI-руткит, обеспечивающий ее доставку и персистентность, останется незамеченным.
⦁ Обнаружение попытки заражения: Теоретически, антивирус или система предотвращения вторжений (HIPS) могли бы заметить подозрительную активность, связанную с попыткой записи в защищенные области SPI-флеш или эксплуатацией уязвимости, ведущей к заражению UEFI. Но это уже предотвращение, а не обнаружение активного руткита.
⦁ Secure Boot: Это не антивирус, а механизм безопасности UEFI, который проверяет цифровые подписи загрузчиков и драйверов. Если он включен и работает корректно, он может предотвратить загрузку неавторизованного UEFI-кода. Однако UEFI-руткиты часто нацелены на обход Secure Boot (например, через эксплуатацию уязвимостей в его реализации или через заражение компонентов, которые загружаются до проверки Secure Boot).

Вывод:

Полагаться на обычный антивирус для защиты от UEFI-руткитов или для их обнаружения и удаления не стоит. Это совершенно другой класс угроз.

Основными методами борьбы остаются:

⦁ Профилактика: Регулярное обновление прошивки UEFI/BIOS (только с официальных сайтов!), включенный Secure Boot.
⦁ Перепрошивка UEFI: Если есть подозрение на заражение, чистая перепрошивка UEFI с официального сайта производителя – самый надежный способ удаления.

Хотя антивирусная индустрия работает над решениями для этой проблемы, на данный момент стандартные антивирусы не являются эффективным средством против активных UEFI-руткитов.
Что скажут эксперты?

[maxic]

Что скажут эксперты?

Я не эксперт, но статейка старая, насколько я понимаю, и слабо коррелирует с действительностью. Как минимум, у доктора есть проверка UEFI - не знаю, насколько изощренная и универсальная, но имеется давно и ничего сверхъестественного в этом нет. Это как когда-то руткиты появились, и много ахов было по этому поводу, так ничего, научились с ними бороться.

[cocs]

Обычный руткит прячется внутри дома (операционной системы). Его можно выгнать, сделав в доме генеральную уборку или даже полностью перестроив дом (переустановив ОС).
UEFI-руткит прячется в фундаменте дома (прошивке материнской платы). Сколько ни убирайся в доме, сколько ни перестраивай его, руткит в фундаменте останется. Чтобы от него избавиться, нужно перестраивать сам фундамент (перепрошивать UEFI).
Из-за своего расположения на самом низком уровне и иммунитета к стандартным методам очистки, UEFI-руткиты считаются значительно более опасными и трудноустранимыми, чем обычные руткиты уровня ОС.

[Floppy]

Проверка UEFI у Доктора есть точно.
Сам это наглядно замечал.
Другой вопрос, может ли он это лечить и если может, то какова вероятность получить потом "кирпич" в виде материнки.

[VVS]

cocs, поищите по форуму - тема периодически (не очень активно) обсуждается на форуме IMHO с 2013 года.

[VVS]

Проверка UEFI у Доктора есть точно.
Сам это наглядно замечал.
Другой вопрос, может ли он это лечить и если может, то какова вероятность получить потом "кирпич" в виде материнки.

В темах, посвящённых этому вопросу, KY писал, что, к сожалению, мало кто из производителей соблюдает "стандарты" UEFI.

Если это так (а KY я однозначно верю), то данный вектор атак особого смысла не имеет - с такой же вероятностью малварь сможет окирпичить комп.

А так да - у доктора такая проверка ЕМНИП есть, но я ни разу живого суслика там не встречал.

[B.Chugunov]

Детекты в firmware\UEFI периодически попадаются на глаза, но весьма редко и в основном фолсы. Тут и на форуме было, поиском по firmware\UEFI можно найти. 
Обезвреживать там никто в своем уме ничего не будет. И по-моему ничего не получится, даже если очень захотеть. Показать - покажем.