Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Компьютеры и программы

Вредоносные инструменты обновления BIOS

На чтение 7 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Малicious BIOS Update Tools: Как защититься от угрозы
  4. Введение
  5. Феномен BIOS и вредоносные инструменты обновления
  6. Потенциальные сценарии вашего случая
  7. Рекомендации по устранению проблем
  8. Заключение

Вопрос или проблема

В июне на моем старом отреставрированном ПК, HP EliteDesk 800 G2 с 16 ГБ памяти и Intel Core i5-6500T, работающем на Windows 10, который я купил в MicroCenter, я заметил, что не могу удалить файлы, чтобы освободить память, что побудило меня выяснить, что я был изолирован в виртуальной машине внутри собственного компьютера. После того как я безуспешно пытался сбросить и восстановить систему несколько раз до тех пор, пока это стало невозможно, я решил купить новый компьютер с Windows 11, надеясь, что это решит мои проблемы, но именно тогда появилась настоящая проблема.

Настраивая все, я прошел через установку с той же учетной записью и электронной почтой, не задумываясь об этом, потому что оставил все свои старые файлы и программы на уже неработающем EliteDesk. Затем Windows выполняет автоматическое обновление во время настройки, и именно тогда зловредное программное обеспечение, не имеющее файловой структуры, было загружено из облака на мой совершенно новый ПК совершенно без моего ведома и согласия, проскользнув мимо нескольких антивирусов.

Я не знал об этом вначале, и только после того, как вернул абсолютно новый ПК четыре раза и даже обменял на другие бренды и конфигурации еще три раза, я понял, что моя сеть могла быть скомпрометирована, что могло привести к успешной атаке на управление учетной записью пользователя.

Поэтому я отменил своего поставщика сети, взял нового, обновленного, и установил Protectli Vault, а затем вернулся, чтобы получить еще один совершенно новый компьютер, с которым у меня все еще есть огромные проблемы, Asus ROG G16CHR с Intel i7-1400KF и 1 ТБ SSD. Я думал, что все надежно, настроив Protectli Vault с OPNSense за несколько дней до установки нового ПК, и поэтому я начал ужесточать и оптимизировать Windows 11 даже без подключения к интернету.

Сначала все шло хорошо, но через пару часов я услышал, как мой Bluetooth-динамик случайно издает звуки в моей спальне на другой стороне дома, что было довольно подозрительно, потому что я использовал его только для телевизора, который смотрел там ночью. В течение миллисекунд совершенно новые мониторы на новом ПК, который я настраивал, начали мерцать почти одновременно, но я не придал этому значения, пока тот же процесс не повторился всего через несколько минут. Bluetooth-динамик издает звук, за которым снова следует мерцание экрана буквально в течение миллисекунд!

С ужасом я осознал, что они проникли через моего мобильного оператора, чтобы получить доступ к Bluetooth, а затем к моему новому ПК, и чуть не сломал телефон в спешке, пытаясь его выключить, но было слишком поздно и безуспешно, потому что ущерб уже был причинен. Вот что, как мне кажется, произошло, пожалуйста, поправьте меня, если я ошибаюсь, и я буду вам очень признателен, потому что я совершенно ничего не знаю и все еще учусь.

Согласно Алексу Матросову, основателю Binarly.io, в статье под заголовком “Поиск logoFAIL – Опасности парсинга изображений во время загрузки системы” на том же сайте, как было доступно в августе 2024 года, во время массовой утечки данных MSI были скомпрометированы Ключи защиты загрузки Intel для более чем 166 различных продуктов, а также Ключи подписи образа прошивки для 57 ключей подписи образа MSI. Это дает злонамеренным пользователям нулевые клик-векторы удаленной атаки, позволяя использовать парсер изображений в режиме ядра в рамках доверенных границ UEFI-прошивки, чтобы перехватить поток выполнения, после чего они создают восстановительный USB-накопитель для использования в устройстве, чтобы скопировать теперь поврежденный файл образа BIOS непосредственно в файл обновления прошивки для автоматической замены файла образа в неподписанном разделе.

Это напрямую связано с вредоносным ПО UEFI, о котором говорит судмедэксперт Кен Харрис в своем канале на YouTube, доступном в сентябре 2024 года, под названием BlackLotus. Он объясняет, что оно было специально разработано определенным трехбуквенным агентством, чтобы обойти безопасную загрузку, получая удаленный доступ к устройству через гипервизор для доступа к виртуальным машинам/облаку и используя уязвимость для обхода даже Windows Defender, BitLocker и даже TPM 2.0, чтобы захватить и продолжать контролировать устройство.

Я обращался к трем различным специалистам по управлению и ремонту ПК, которые каждый раз клялись, что решили проблему, полагая, что безопасное стирание на BIOS и переформатирование диска позволяют произвести чистое восстановление и переустановку ОС Windows 11, но согласно моему пониманию ситуации (напоминаю, что я абсолютно ничего не знаю) и моему прямому опыту, это определенно не так.

С учетом сказанного, есть ли у вас предложения по решениям или корректирующим действиям, которые я могу предпринять на данном этапе? Или мне нужно приобрести целый новый процессор, а может, даже диск…

Ответ или решение

Малicious BIOS Update Tools: Как защититься от угрозы

Введение

Ваша ситуация представляет собой сложное сочетание проблем, связанных с программным обеспечением и оборудованием. Вы описали ряд инцидентов, начиная с неисправной работы компьютера и заканчивая подозрительной активностью на новом устройстве. Это можно рассматривать как потенциальные уязвимости, в том числе на уровне BIOS. В этом ответе я подробно рассмотрю возможные причины возникших проблем и предложу решения.

Феномен BIOS и вредоносные инструменты обновления

BIOS (или UEFI) является основной частью вашего компьютера, отвечающей за инициализацию аппаратных компонентов и запуск операционной системы. Злоумышленники могут использовать уязвимости на уровне BIOS или UEFI для внедрения вредоносных программ. Это возможно через:

  1. Угрозы на уровне прошивки: Вредоносные коды могут внедряться в BIOS и оставаться незамеченными антивирусами, так как они функционируют до загрузки операционной системы.
  2. Злоупотребление инструментами обновления: Если несанкционированный или поддельный файл обновления прошивки загружается и запускается, это может привести к тому, что злоумышленник получит полный контроль над системой.

Потенциальные сценарии вашего случая

Ваши описанные ситуации могут быть следствием как аппаратных, так и программных неисправностей:

  1. Проблемы с жестким диском или операционной системой: Первый случай с вашим HP EliteDesk может быть связан с повреждением файловой системы или аппаратными сбоями. Рекомендуется выполнить проверку диска на наличие ошибок и при необходимости заменить сам жесткий диск.

  2. Неправильное обновление: Ваше мнение о том, что вредоносный корень попал через обновление Windows, скорее всего, ошибочно. Windows строго проверяет обновления на подлинность, и маловероятно, что они были источником заражения. Вместо этого, лучше проверить, не был ли ваш компьютер заражен на этапе установки.

  3. Подключение по Bluetooth: Подозрительная активность вашего Bluetooth динамика может быть связана с уязвимостями в протоколе Bluetooth или неправильно настроенными параметрами безопасности.

  4. Безопасность сети: Замена интернет-провайдера и установка защиты в виде Protectli Vault с OPNSense являются хорошими шагами. Однако вы должны удостовериться в правильной настройке всех параметров безопасности вашей сети.

Рекомендации по устранению проблем

  1. Проверка жесткого диска: Используйте утилиты, такие как CHKDSK или сторонние софты для проверки состояния вашего жесткого диска. В случае выявления ошибок, возможно, потребуется замена устройства.

  2. Переустановка ОС: Чтобы исключить возможность наличия корневого кода, рекомендуется полное форматирование диска без подключения к интернету. Это поможет установить чистую версию Windows 11.

  3. Обновление BIOS/UEFI: Убедитесь, что ваш BIOS/UEFI обновлен до последней версии, доступной на сайте производителя, так как многие обновления сужают круг возможных уязвимостей.

  4. Использование UPS: Установка источника бесперебойного питания на ваши устройства может защитить от скачков напряжения и отключений, которые могут вызывать сбои в работе оборудования.

  5. Контроль безопасности Bluetooth: Убедитесь, что возможность подключения по Bluetooth отключена, когда она не используется. Это значительно уменьшит потенциальные риски.

Заключение

Ваш опыт иллюстрирует множество потенциальных проблем, с которыми могут столкнуться современные пользователи компьютеров. Ключ к защите от уязвимостей BIOS и других проблем заключается в обучении, регулярной проверке оборудования и использовании надежных методов защиты. Если остаются сомнения, рекомендуем обратиться к опытным специалистам по кибербезопасности для получения более детализированных советов.

bios firmware hard-drive-recovery partition-recovery rootkit
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности