08.08.2025 12:28
Chumikov 0 1400 Источник

Введение

Современные угрозы в мире кибербезопасности всё чаще стараются опуститься "ниже уровня радаров" — в буквальном смысле. Одной из таких областей становится прошивка материнской платы: UEFI (Unified Extensible Firmware Interface).

На конференции Black Hat USA 2025 исследователь Shota Matsuo представил доклад о новом классе угроз под названием Shade — платформе для загрузки зловредного ПО из UEFI, способной обходить почти все современные средства защиты.

Я постарался сделать краткий обзор Shade, но также оставляю ссылку на презентацию с его доклада.

Что такое Shade

Shade — это модульная UEFI-загрузка, позволяющая разворачивать малварь прямо из BIOS без взаимодействия с файловой системой ОС.

Преимущества:

  • Невидимость: антивирусы не видят активности;

  • Сохранение малвари даже после переустановки ОС;

  • Гибкость: поддержка модулей и загрузок из NVRAM.

Ключевые особенности

Характеристика

Описание

Bootkit на основе DXE

Внедряется в драйверы на стадии DXE-фазы загрузки UEFI

Payload из NVRAM

Зловред хранится в энергонезависимой памяти

OS-agnostic

Работает независимо от ОС (Windows, Linux и др.)

Runtime Injection

Инжектирует код при загрузке ОС

Как работает атака

  1. Компрометация прошивки — через физический или удалённый доступ;

  2. Инжект Shade в DXE-фазу — добавляется драйвер;

  3. Сохранение Payload в NVRAM — не детектируется стандартными средствами;

  4. Инъекция при старте ОС — UEFI подгружает и запускает вредоносный код.

Примеры в дикой природе

Имя

Загрузчик UEFI

Payload

Обнаружена

LoJax

Да

Cobalt Strike Beacon

2018 (ESET)

MoonBounce

Да

In-memory shellcode

2021 (Kaspersky)

CosmicStrand

Да

Userland trojan loader

2022 (Kaspersky)

Shade

Да

Любой (модульный)

2025 (BlackHat USA)

Кто в зоне риска?

  • Госсектор и критическая инфраструктура;

  • IT-компании, облачные провайдеры, дата-центры;

  • Производственные цепочки (supply chain);

  • Серверы и рабочие станции с UEFI-прошивкой от вендора.

Как защититься

1. Контроль целостности прошивки:

  • Использовать Intel Boot Guard или аналогичные технологии.

  • Проверка хэшей прошивки через TPM или внешние верификаторы.

2. Мониторинг NVRAM:

  • Подозрительные переменные (EfiBadNvram, EfiStage1Payload и др.)

3. Безопасное обновление BIOS:

  • Только с верифицированных источников или через внешние программаторы.

4. Антивирусы с поддержкой UEFI-анализа:

  • ESET, SentinelOne, Eclypsium, Kaspersky и др.

Хочешь проверить свою систему?

1. Используй CHIPSEC

CHIPSEC — это open-source фреймворк от Intel для анализа безопасности платформы, включая прошивки BIOS/UEFI, ACPI, SPI Flash и NVRAM.

Установка (Linux / Windows):

bash pip install chipsec

Просмотр содержимого NVRAM:

bash chipsec_util nvram list

В случае Shade и похожих UEFI-загрузчиков, нужно искать подозрительные переменные, например:

  • EfiStage1Payload

  • EfiBadNvram

  • EfiRuntimePatch

  • Переменные с нестандартными GUID'ами

2. Проверь целостности UEFI и SPI Flash

Проверь, были ли изменения в прошивке или есть ли скрытые разделы SPI.

bash chipsec_util spi dump spi_dump.bin

Затем можно использовать:

bash chipsec_util spi verify spi_dump.bin

Или "вручную" сравни бинарник с оригинальной прошивкой от производителя.

Заключение

UEFI-малварь, и особенно такие платформы как Shade, демонстрируют, насколько хрупкими могут быть традиционные границы защиты. Если BIOS заражён — пользователь может даже не подозревать об этом, пока не станет слишком поздно.

"Если вы контролируете BIOS, вы контролируете всё."

Больше новостей в моём Telegram. Подписывайтесь!

Комментарии (0)