- 24,207
- 46
- 8 Ноя 2022
Традиционные защитные программы даже не поймут, что система скомпрометирована.
Специалист по анализу вредоносного ПО Ли Бяомин, известный под псевдонимом Seeker, опубликовал подробные исследовательские заметки, посвящённые импланту MoonBounce и его работе на уровне UEFI -прошивки. Материал сосредоточен на изучении DXE Core — ключевого компонента загрузочной архитектуры, который управляет запуском всех последующих модулей на этапе DXE и фактически выступает «операционной системой» внутри прошивки.
В основе исследования лежит анализ того, как MoonBounce внедряется прямо в исполняемый код DXE Core. Вместо создания отдельного модуля вредоносная логика встраивается в уже существующие функции, что позволяет перехватывать критически важные этапы загрузки системы. В частности, автор описывает механизм inline-перехватов в службах EFI, через которые имплант получает контроль над процессами выделения памяти, обработки событий и перехода от прошивки к загрузчику операционной системы.
Отдельное внимание уделено универсальности схемы атаки. MoonBounce способен адаптироваться к разным сценариям загрузки — как с использованием режима совместимости CSM, так и в чистой UEFI-среде. В одном случае управление передаётся через события legacy-загрузки, в другом — через перехват точки перехода от прошивки к ядру операционной системы. Это делает имплант устойчивым к различным конфигурациям и архитектурам систем.
В исследовании подчёркивается, что подобная архитектура требует глубокого понимания внутренней логики UEFI и точек доверия внутри загрузочного процесса. MoonBounce фактически «вшивает» свою логику в само ядро выполнения прошивки, получая доступ к управлению системой ещё до запуска драйверов и компонентов ОС. Такой подход значительно усложняет обнаружение и анализ угрозы.
Ли Бяомин опирается на ранее опубликованные материалы команды «Лаборатории Касперского» и компании Binarly , которые связывают MoonBounce с группировкой APT41 , также известной как Winnti. Его заметки не повторяют технические отчёты, а дополняют их концептуальным разбором архитектуры атаки и логики внедрения в DXE Core, показывая, как эволюционируют современные прошивочные импланты и почему они становятся всё более сложными для выявления и нейтрализации.
Специалист по анализу вредоносного ПО Ли Бяомин, известный под псевдонимом Seeker, опубликовал подробные исследовательские заметки, посвящённые импланту MoonBounce и его работе на уровне UEFI -прошивки. Материал сосредоточен на изучении DXE Core — ключевого компонента загрузочной архитектуры, который управляет запуском всех последующих модулей на этапе DXE и фактически выступает «операционной системой» внутри прошивки.
В основе исследования лежит анализ того, как MoonBounce внедряется прямо в исполняемый код DXE Core. Вместо создания отдельного модуля вредоносная логика встраивается в уже существующие функции, что позволяет перехватывать критически важные этапы загрузки системы. В частности, автор описывает механизм inline-перехватов в службах EFI, через которые имплант получает контроль над процессами выделения памяти, обработки событий и перехода от прошивки к загрузчику операционной системы.
Отдельное внимание уделено универсальности схемы атаки. MoonBounce способен адаптироваться к разным сценариям загрузки — как с использованием режима совместимости CSM, так и в чистой UEFI-среде. В одном случае управление передаётся через события legacy-загрузки, в другом — через перехват точки перехода от прошивки к ядру операционной системы. Это делает имплант устойчивым к различным конфигурациям и архитектурам систем.
В исследовании подчёркивается, что подобная архитектура требует глубокого понимания внутренней логики UEFI и точек доверия внутри загрузочного процесса. MoonBounce фактически «вшивает» свою логику в само ядро выполнения прошивки, получая доступ к управлению системой ещё до запуска драйверов и компонентов ОС. Такой подход значительно усложняет обнаружение и анализ угрозы.
Ли Бяомин опирается на ранее опубликованные материалы команды «Лаборатории Касперского» и компании Binarly , которые связывают MoonBounce с группировкой APT41 , также известной как Winnti. Его заметки не повторяют технические отчёты, а дополняют их концептуальным разбором архитектуры атаки и логики внедрения в DXE Core, показывая, как эволюционируют современные прошивочные импланты и почему они становятся всё более сложными для выявления и нейтрализации.
- Источник новости
- www.securitylab.ru
