UEFI-вредоносы: как найти цифрового призрака в прошивке и что с ним делать

Представьте: вы переустановили Windows начисто, отформатировали диск, даже святой водой полили — а зловред как сидел, так и сидит. Нет, это не из области мистики, а вполне реальная угроза под названием UEFI-вредонос. Эта штука засела так глубоко в недрах компьютера, что даже замена жёсткого диска её не берёт.

UEFI-вредонос — это не какая-то очередная программка в автозагрузке, которую можно выцепить парой кликов. Это код, который стартует раньше операционной системы и спокойно переживает даже полную переустановку Windows или Linux. Сценариев атаки несколько: от подмены цепочки загрузки (так называемые буткиты) до внедрения модулей прямо в прошивку материнской платы.

В 2018 году ESET зафиксировала первый реальный случай — LoJax, в 2022-м появился буткит BlackLotus, способный обходить Secure Boot на полностью обновлённых системах. А совсем недавно, в январе 2025 года, Microsoft пропатчила очередную дыру CVE-2024-7344, которая тоже позволяла обходить Secure Boot. Именно поэтому привычное «форматнуть диск C:» тут не лекарство, а максимум косметика.

Краткий курс молодого бойца: какие угрозы нас подстерегают

Для начала разберёмся, с кем мы воюем. Упрощённо говоря, есть два основных типа атак на UEFI.

Первый — это буткиты (bootkit). Суть проста: злоумышленники подменяют или встраиваются в цепочку загрузки компьютера (файлы shim, bootmgfw.efi, драйверы), иногда используя уязвимости в Secure Boot или неподписанные компоненты. BlackLotus стал первым публично известным буткитом, который смог обойти Secure Boot, используя уязвимость CVE-2022-21894. Microsoft патчила эту дыру ещё в январе 2022 года, но эксплуатация оставалась возможной, потому что уязвимые, но валидно подписанные бинарники долго не попадали в список отзыва UEFI.

Второй тип гораздо неприятнее — это имплантаты прошивки (firmware implant). Здесь речь идёт уже о реальном изменении образа прошивки в SPI-флеш памяти. Известные случаи включают MosaicRegressor, MoonBounce и CosmicStrand. Удаление таких гадостей — задача не из лёгких, часто требуется полная перепрошивка «железа».

Отдельно стоит упомянуть класс уязвимостей в вендорской прошивке. Свежий пример — уязвимости в прошивке Gigabyte (CVE-2025-7029, CVE-2025-7028, CVE-2025-7026), обнаруженные в июле 2025 года. А ещё был LogoFAIL, где «безобидный» логотип при старте мог стать троянским конём для вредоносного кода.

Красные флажки: на что обращать внимание

Мир UEFI довольно сложный, но есть признаки, которые должны вас насторожить быстрее, чем подозрительно дешёвые суши в переходе:

• Secure Boot внезапно выключился «сам по себе». В логах или на экране замелькали предупреждения о нарушениях Secure Boot или неизвестных ключах. Это как если бы охранник на входе в банк вдруг решил взять отгул.
• Версия базы отзывов DBX устарела или не обновляется. Для Windows см. официальные рекомендации Microsoft: как управлять отзывами загрузчиков и обзор DBX-обновлений.
• В Windows неожиданно отключились BitLocker, HVCI (защита целостности кода гипервизором) или Defender, хотя политики никто не менял. Это типичный побочный эффект BlackLotus, как будто вирус не просто поселился в доме, а ещё и поломал все замки.
• В разделе EFI появились странные папки или файлы, даты и подписи не совпадают с «заводскими» для вашей версии системы.
• Инструменты безопасности Linux понижают уровень «устойчивости хоста» (HSI) или жалуются на настройки прошивки.

Первичная диагностика в Windows: быстро и без боли

Начнём с небольшой диагностики, которая не потребует паяльника и внешних программаторов. Хотя последние, признаться, выглядят довольно брутально.

Проверяем Secure Boot и ключи. Запускаем PowerShell от имени администратора и выполняем:

Get-SecureBootUEFI -Name SecureBoot,db,dbx,KEK,PK | ft Name,Bytes -Auto

Убеждаемся, что Secure Boot включён, а DBX (база отзывов) не времён динозавров. Если нужно процедуру отзывов или обновления — идём по официальному гайду Microsoft для CVE-2023-24932.

Смотрим записи прошивочного загрузчика. В командной строке выполняем:

bcdedit /enum firmware

Неизвестные или «лишние» EFI-записи — повод копать глубже, особенно если они указывают на нестандартные пути. Это как найти в своей квартире ключи от чужой.

Оцениваем содержимое ESP (EFI System Partition). В PowerShell запускаем:

mountvol S: /S
dir S:\EFI\ /s /a

Проверяем даты и подписи EFI\Microsoft\Boot\bootmgfw.efi, смотрим на наличие неожиданных каталогов. В случаях с BlackLotus в цепочке могли появляться нестандартные файлы и попытки отключить защитные механизмы.

Антивирус, который реально читает UEFI. Коммерческие решения умеют сканировать область прошивки и EFI-раздел. Например, ESET UEFI Scanner и Kaspersky Anti-Virus for UEFI. Это не волшебная палочка, но хороший триггер для дальнейших расследований.

Диагностика в Linux: когда пингвин помогает

В Linux есть удобный набор утилит, чтобы «пощупать» доверенную цепочку загрузки:

• Статус Secure Boot: mokutil --sb-state (или --sb-status)
• Просмотр ключей и отзывов: efi-readvar -v db, efi-readvar -v dbx (из пакета efitools)
• Загрузочные записи: efibootmgr -v
• Оценка «здоровья» прошивки: fwupdmgr security — покажет HSI-уровень и конкретные рекомендации. Подробности о том, что означает HSI, помогут разобраться в результатах

Серьёзная артиллерия: низкоуровневые инструменты

Когда есть подозрения посерьёзнее простого «что-то не так», переходим к инструментам, которые заглядывают под операционную систему. Здесь нужна осторожность — как с огнестрельным оружием.

CHIPSEC — это фреймворк от Intel для проверки защиты платформы, SPI-регистра, UEFI и конфигурации чипсета. Умеет выявлять отключённую защиту от записи, подозрительные модули, делать дамп SPI для анализа. Репозиторий: github.com/chipsec/chipsec и документация chipsec.github.io.

Примеры использования (Windows/Linux, права администратора):

chipsec_main -i — инвентаризация защиты платформы
chipsec_util spi info — параметры SPI-контроллера и защита записи
chipsec_util uefi scan — базовый поиск аномалий в UEFI
chipsec_util spi dump spi.bin — дамп прошивки для офлайн-анализа

Анализ цепочки загрузки — для расследований по BlackLotus и похожим случаям пригодится сбор артефактов (журналы, реестр, состояние BitLocker/HVCI). Хорошее пошаговое руководство с правилами охоты есть у Rapid7/Velociraptor.

Сравнение прошивки — офлайн-сравнение дампа SPI с «эталонным» образом от производителя. В случае внедрений уровня MoonBounce и MosaicRegressor это самый надёжный способ подтвердить модификации. Правда, для этого нужно немного разбираться в том, где у материнской платы «плюс», а где «минус».

Арсенал цифрового детектива: инструменты и их возможности

Вот краткий справочник по основным инструментам:

Get-SecureBootUEFI — показывает состояние Secure Boot/DB/DBX/PK/KEK, быстрая диагностика Windows. Документация Microsoft.

fwupdmgr security — оценка HSI, рекомендации по прошивке и защите. Спецификация HSI.

CHIPSEC — проверка SPI-защиты, анализ UEFI, дамп прошивки. GitHub.

ESET UEFI Scanner — сканирование UEFI/ESP на известные угрозы. База знаний ESET.

Kaspersky AV for UEFI — защита и сканирование на уровне EFI. Описание продукта.

Подтверждение инцидента: чтобы не охотиться на призраков

UEFI-инциденты случаются редко, но дорого обходятся. Поэтому действуем как в форензике — методично и аккуратно. Собираем «снимок состояния»: дамп SPI (если возможно), список EFI-записей, содержимое ESP, логи событий, статус Secure Boot/DBX.

Сверяемся с известными случаями: LoJax, BlackLotus, MoonBounce, CosmicStrand.

Но сначала исключаем банальные вещи: внезапно отключённый Secure Boot, устаревший DBX, «самодельные» MOK-ключи. Иногда паранойя оказывается просто следствием забытых настроек или устаревших обновлений.

Лечение: от щадящих методов к радикальным

Подход к лечению зависит от глубины заражения. Всегда начинаем с минимально инвазивных шагов и обязательно делаем бэкапы — мало ли что пойдёт не так.

Обновляем всё законно доступное: прошивку UEFI с сайта производителя и DBX/boot-отзывы. Для Windows — по гайду Microsoft. Для Linux — обновление dbx через LVFS org.linuxfoundation.dbx.

Очищаем или воссоздаём ESP: удаляем неавторизованные каталоги, переустанавливаем загрузчик штатными средствами ОС. При буткит-сценариях этого часто достаточно.

Сброс NVRAM и восстановление ключей Secure Boot: возвращаем платформенные ключи (PK/KEK/DB), удаляем самоподписанные MOK (если их не должно быть).

Полная перепрошивка SPI: если подозрение на firmware implant, перепрошиваем официальным образом. При стойком заражении — читаем SPI внешним программатором, шьём «чистый» образ от производителя (или меняем материнскую плату). Это типичный рецепт в случаях типа MoonBounce. Если слова «SOIC-клипса» и «CH341A» вас пугают — лучше обратиться в сервис.

Ротация секретов: после очистки перевыпускаем ключ восстановления BitLocker/пароли, заново включаем HVCI/Defender, переподписываем загрузочные компоненты (если использовали собственные ключи).

Профилактика: чтобы история не повторилась

Как говорится, лучше предупредить болезнь, чем потом её лечить. Особенно когда речь идёт о таких неприятных вещах, как UEFI-вредоносы.

Держите прошивку в актуальном состоянии и отключите CSM (Compatibility Support Module), если он вам не нужен — так уменьшается поверхность атаки. Старый добрый принцип «меньше функций — меньше проблем».

Следите за DBX и отзывами: обновления Microsoft и UEFI Forum периодически «зачищают» уязвимые загрузчики и подписи. DBX-обновления выходят регулярно, как сводки погоды.

Не грузите сомнительные EFI-модули и не добавляйте MOK без необходимости. Любая «самоподписанная» вставка — это окно для злоумышленника. Лучше быть параноиком, чем жертвой.

Учитывайте новые классы уязвимостей. Например, CVE-2024-7344, которую Microsoft пропатчила в январе 2025 года, или LogoFAIL: по возможности запретите пользовательские логотипы в UEFI, чтобы не кормить парсеры неподписанными данными.

Используйте инструменты, которые видят «ниже ОС» — от CHIPSEC до коммерческих UEFI-сканеров (ESET, Kaspersky).

Часто задаваемые вопросы (или попытки самоуспокоения)

Это точно UEFI-вирус? А может, ложное срабатывание?

Бывает и такое — паранойя иногда играет злые шутки. Сначала проверьте Secure Boot/DBX, записи EFI и ESP-содержимое. Если сомневаетесь, подтверждайте дампом SPI и сравнением с эталоном, как рекомендуют исследователи в разборах LoJax/BlackLotus.

Есть ли кнопка «удалить в один клик»?

К сожалению, нет — иначе мы бы не писали такие подробные инструкции. Буткит можно выбить обновлением, отзывами и чисткой ESP. Имплант в прошивке — это почти всегда перепрошивка. Именно поэтому случаи вроде MoonBounce и CosmicStrand так неприятны.

Стоит ли паниковать прямо сейчас?

Нет, но стоит включить цифровую гигиену: держите прошивку и DBX свежими, не отключайте Secure Boot «ради удобства», ограничьте MOK, и периодически проверяйте себя инструментами выше. Если нужны быстрые сводки по трендам — почитайте дайджесты ESET/Kaspersky по UEFI-угрозам.

Чек-лист на один вечер: минимальная программа

1. Windows: Get-SecureBootUEFI — убедиться, что Secure Boot включён и DBX актуален (гайд).
2. Windows: bcdedit /enum firmware, mountvol S: /S и ревизия S:\EFI\ на лишние артефакты.
3. Linux: mokutil --sb-state, efi-readvar -v dbx, efibootmgr -v, fwupdmgr security.
4. По возможности — chipsec_main -i и chipsec_util uefi scan. Если тревожные сигналы подтвердятся — думаем про дамп SPI и сравнение с эталоном.
5. Обновить прошивку UEFI и DBX (Windows/Linux). Для Linux — проверьте LVFS-пакет dbx.
6. Если найдены явные индикаторы компрометации: сохраняем артефакты, переподписываем/восстанавливаем ESP, при необходимости — перепрошивка.

Если тема кажется «слишком низкоуровневой», не переживайте — вы не одиноки. Даже большие организации подключают специализированные инструменты и внешних экспертов. Хорошая новость — практики и инструменты уже существуют: от отчётов ESET по LoJax/BlackLotus до методичек Microsoft по отзывам и открытых утилит вроде CHIPSEC. Плохая — чем раньше вы их примените, тем дешевле будет расследование. А если обнаружите что-то подозрительное — не паникуйте, но и не затягивайте с принятием мер.