Атаки до загрузки системы

[Viruslist.com]

Одной из основных задач вредоносного кода является обеспечение раннего старта, который позволяет внести необходимые изменения в код операционной системы и системных драйверов - например, установить перехваты - раньше момента инициализации компонентов антивирусного продукта. В результате вредоносные программы и антивирусные продукты играют в кошки-мышки, поскольку находятся на одном уровне: операционная система, системные драйверы и руткиты работают в режиме ядра.

В настоящее время буткиты являются самой продвинутой технологией злоумышленников, позволяющей стартовать вредоносному коду до загрузки операционной системы. И технология эта используется во множестве зловредов.

В прошлом мы неоднократно писали о буткитах (например, о [XPAJ][1] и [TDSS (TDL4)][2]). В последней по времени [публикации с упоминанием буткитов][3] описаны сценарии таргетированных атак с использованием данной технологии в операции «Маска». Однако такие публикации появляются не часто, и у многих специалистов может создаться впечатление, что буткиты, как и файловые вирусы, «умерли», что «[доверенная загрузка][4]»љсделала свое дело и угроза более не актуальна.

Тем не менее, буткиты существуют, востребованы на черном рынке и активно используются киберпреступниками, в том числе при проведении таргетированных атак.

[ ![][5] ][6]
_Часть кода загрузчика вредоносной программы TDSS в MBR_

[1]: http://www.securelist.com/ru/analysis/208050760/XPAJ_Issledovanie_butkita_pod_Windows_x64
[2]: http://www.securelist.com/ru/analysis/208050704/TDL4_Top_Bot
[3]: http://www.securelist.com/ru/blog/207769017/Careto_Maska_APT_chasto_zadavaemye_voprosy
[4]: http://blogs.msdn.com/b/olivnie/archive/2013/01/09/windows-8-trusted-boot-secure-boot-measured-boot.aspx
[5]: http://www.securelist.com/ru/images/vlweblog/bootkits1_sm.png
[6]: http://www.securelist.com/ru/images/vlweblog/bootkits1.png

URL: http://www.securelist.com/ru/blog/207769065/Ataki_do_zagruzki_sistemy