Что такое uefi os: Вы заблудились на сайте компьютерного мастера

UEFI и опасности в киберсреде


Недавно Лаборатория Касперского обнаружила сложную целевую атаку, направленную на дипломатические учреждения и общественные организации в Африке, Азии и Европе. Было определенно, что все жертвы так или иначе имели отношение к Северной Корее — будь то через какую-либо некоммерческую активность в этой стране или же через дипломатические связи.


В своих атака злоумышленники использовали сложный модульный шпионский фреймворк, который назвали MosaicRegressor. В процессе расследования было выясненно, что в некоторых случаях вредоносное ПО попадало на компьютеры жертв способом, который крайне редко встречается «в дикой природе»: с помощью модифицированных UEFI. Впрочем, это был не единственный способ доставки вредоноса в OS: в большинстве случаев кибер-преступники применяли более традиционный метод — целевой фишинг.



Что такое UEFI и в чем опасность буткита


Если попробовать упростить, можно сказать, что UEFI (как и BIOS, которой UEFI пришла на смену) — это ПО, которое запускается при старте компьютера, еще до запуска самой операционной системы. При этом оно хранится не на жестком диске, а на отдельном чипе материнской платы. Если злоумышленникам удается модифицировать код UEFI, то они потенциально могут использовать его для доставки вредоносного программного обеспечения в систему жертвы.


В ходе описываемой кампании мы обнаружили именно такой случай. Причем для создания своих модифицированных прошивок UEFI злоумышленники использовали исходники утекшего в сеть буткита группы HackingTeam — VectorEDK. Несмотря на то, что в открытом доступе исходные коды оказались еще в 2015 году, мы до сих пор не видели свидетельств его использования злоумышленниками.


При запуске системы буткит размещает в папке автозагрузки системы вредоносный файл IntelUpdate.exe, который затем загружает и устанавливает на ПК компоненты MosaicRegressor. Учитывая «обособленность» UEFI, даже при обнаружении этого вредоносного файла избавиться от него практически невозможно. Не поможет ни его удаление, ни переустановка системы. Единственный способ решить проблему — перепрошивка материнской платы.



Чем опасен MosaicRegressor


Независимо от того, каким способом компоненты MosaicRegressor проникали на компьютер жертвы — через скомпрометированный UEFI или при помощи целевого фишинга, — они подключались к командным серверам, скачивали дополнительные модули и запускали их. Далее эти модули использовались для кражи информации. Например, один из них собирал недавно открытые документы, архивировал их и отправлял авторам атаки.



Как защититься от MosaicRegressor


Чтобы не стать жертвой MosaicRegressor, в первую очередь, следует бороться с попытками целевого фишинга, ведь большая часть сложных атак начинается именно так. Для максимально эффективной защиты рабочих компьютеров мы бы рекомендовали совмещать защитные продукты с продвинутыми антифишинговыми технологиями, а также повышать осведомленность сотрудников об атаках такого типа.


Вредоносные модули, занимающиеся кражей информации, наши защитные решения успешно выявляют.


Что касается скомпрометированных прошивок, то мы, к сожалению, не знаем точно, каким образом буткит попадал на компьютеры жертв. Основываясь на данных из утечки HackingTeam, можно предположить, что для этого злоумышленникам требовался физический доступ к компьютеру жертвы. А именно — его загрузка с USB-носителя. Однако не исключено, что есть и другие методы компрометации UEFI.



Для защиты от UEFI-буткита MosaicRegressor у нас есть следующие рекомендации:

    • От несанкционированной модификации прошивку компьютера защищает Intel Boot Guard — правда, далеко не все оборудование обладает поддержкой этой полезной функции (вы можете проверить это на сайте производителя своего компьютера или материнской платы).
    • Использование шифрования диска (FDE) поможет предотвратить установку буткитом в операционную систему полезной нагрузки — вредоносных модулей, которые представляют непосредственную опасность.
    • Также следует использовать надежные защитные решения, способные выявлять угрозы такого типа, например Kaspersky Endpoint Security для бизнеса Стандартный. Для всех наших продуктов доступны скидки и специальные акции. Все наши продукты, с 2019 года умеют искать угрозы, скрывающиеся в ROM BIOS и в прошивках UEFI. Собственно, данная атака изначально была обнаружена при помощи ответственной за это технологии — Firmware Scanner.

    Режимы загрузки компьютеров Mac с процессором Intel и чипом безопасности Apple T2

    Поиск по этому руководству

    Во время загрузки компьютера Mac с процессором Intel и чипом безопасности Apple T2 компьютер можно перевести в один из режимов загрузки, нажав сочетание клавиш, распознаваемое прошивкой UEFI или загрузчиком. Некоторые режимы загрузки, например однопользовательский режим, не работают, пока в Утилите безопасной загрузки не изменена политика безопасности, то есть пока не установлен параметр «Функции безопасности отключены».

    Режим

    Сочетание клавиш

    Описание

    Загрузка macOS

    Нет

    Прошивка UEFI передает управление загрузчику macOS (приложению UEFI), которое передает управление ядру macOS. Если выполняется стандартная загрузка компьютера Mac с включенной функцией FileVault, загрузчик macOS отображает интерфейс входа в систему, где нужно ввести пароль, чтобы расшифровать хранилище.

    Менеджер загрузки

    Option (⌥)

    Прошивка UEFI запускает встроенное приложение UEFI, которое отображает интерфейс выбора загрузочного устройства.

    Режим внешнего диска (TDM)

    T

    Прошивка UEFI запускает встроенное приложение UEFI, которое предоставляет доступ к внутреннему устройству хранения в режиме неформатированного блочного устройства хранения через FireWire, Thunderbolt, USB или любое их сочетание (в зависимости от модели Mac).

    Однопользовательский режим

    Command (⌘)-S

    Ядро macOS передает флаг -s в векторе аргументов launchd, затем launchd создает однопользовательскую оболочку в tty приложения «Консоль».

    Примечание. Если пользователь выходит из оболочки, macOS продолжает загрузку и отображает окно входа.

    recoveryOS

    Command (⌘)-R

    Прошивка UEFI загружает минимальную версию macOS из файла подписанного образа диска (.dmg) на внутреннем устройстве хранения.

    recoveryOS из интернета

    Option (⌥)-Command (⌘)-R

    Подписанный образ диска загружается из интернета по протоколу HTTP.

    Диагностика

    D

    Прошивка UEFI загружает минимальную диагностическую среду UEFI из файла подписанного образа диска на внутреннем устройстве хранения.

    Диагностика через интернет

    Option (⌥)-D

    Подписанный образ диска загружается из интернета по протоколу HTTP.

    Загрузка Windows

    Нет

    Если операционная система Windows была установлена с помощью Boot Camp, прошивка UEFI передает управление загрузчику Windows, который передает управление ядру Windows.

    Дата публикации: 18 февраля 2021 г.

    См. такжеЗащита пароля прошивки на компьютере Mac с процессором IntelСреды recoveryOS и диагностики для компьютера Mac с процессором IntelБезопасное обновление программного обеспечения

    Максимальное количество символов:
    250

    Не указывайте в комментарии личную информацию.

    Максимальное количество символов: 250.

    Благодарим вас за отзыв.

    Что такое UEFI? | Разница между BIOS и UEFI

    Что такое UEFI?

    Единый расширяемый интерфейс прошивки (UEFI)

    UEFI — это новый вариант BIOS, который вскоре заменит BIOS. Как мы все знаем, BIOS — это небольшая часть системного программного обеспечения, которая помещается в микросхему ПЗУ, присутствующую на материнской плате.

    Для нашего понимания мы также можем назвать BIOS миниатюрной системной программой запуска, которая отвечает за загрузку основной операционной системы каждый раз, когда вы запускаете компьютерную систему.

    UEFI — это новейшая расширенная версия BIOS, которая размещается на материнской плате в виде микросхемы ПЗУ. UEFI имеет ряд существенных преимуществ по сравнению с BIOS.

    Устаревшие версии BIOS и UEFI в настоящее время используются во многих компьютерных системах. И поэтому понимание BIOS и его ограничений является важным фактором, который привел к разработке UEFI.

    В этой статье вы узнаете, что такое UEFI, зачем нужно было внедрять UEFI, что такое BIOS и его функции и, наконец, в чем преимущества UEFI.

    Начнем с простого введения в BIOS и его функций.

    Что такое UEFI?

    Содержание