Контакты
Подписка 2024
Виртуализация
18 июня. Российские платформы виртуализации: безопасность, производительность, управление
Регистрируйтесь на онлайн-конференцию!

ESET: Буткит ESPecter все еще угрожает UEFI

30/05/22

hack42ESPecter – буткит, устанавливающийся в систему посредством компрометации диспетчера загрузки Windows, поясняют в Securitylab. Аналитики ESET утверждают, что это второй в истории буткит, использующий ESP в качестве точки входа.

Согласно исследованиям специалистов, ESPecter был создан еще в 2012 году. Тогда вредонос использовался исключительно для атак на системы с BIOS. Только в 2020 году разработчики переписали буткит для атак на UEFI. Сравнив версии между собой, исследователи ESET заметили интересную особенность – за 8 лет компоненты вредоносного ПО почти не изменились.

В подкасте эксперты обсудили способ установки буткита в систему. По словам экспертов, после начала процесса установки начальные компоненты ESPecter изменяют компонент Windows Boot Manager и обходят Windows Driver Signature Enforcement (DSE), чтобы загрузить и запустить неподписанный вредоносный драйвер — фактическую полезную нагрузку буткита ESPecter. Этот драйвер содержит в себе два компонента — WinSys.dll и Client.dll, которые злоумышленники используют для поиска конфиденциальных файлов в локальной системе, периодического создания скриншотов и запуска кейлоггера.

В конце подкаста специалисты дали рекомендации по защите от буткитов. Вот их краткий список:

  • Всегда используйте самую новую версию прошивки;
  • Не отключайте режим Secure Boot;
  • Следите за настройками системы.
Темы:УгрозыESETбуткит
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний
  • Фиды для SOC. Осведомлен – значит вооружен
    Александр Пирожков, Руководитель группы по развитию бизнеса в СНГ и Грузии компании ESET
    Разведка в сфере ИБ – это подключение потоков данных об угрозах. Рано или поздно каждый современный SOC осваивает данный инструмент.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...