Новости
Исследователи FireEye обнаружили новый опасный буткит BOOTRASH, входящий в набор вредоносного ПО Nemesis
9

Исследователи FireEye обнаружили новый опасный буткит BOOTRASH, входящий в набор вредоносного ПО Nemesis

bootkit-head-640x353-860x450

Специалисты по информационной безопасности из компании FireEye обнаружили новый буткит, вредоносная программа, модифицирующая загрузочный сектор MBR. Новый вредитель, получивший название BOOTRASH, входит в набор вредоносного ПО под общим названием Nemesis, который применяется кибергруппой FIN1 для кражи информации у банков и других финансовых структур.

Обнаружение и удаление буткита является крайне сложной задачей в силу природы семейство данных вредоносных программ. Для обеспечения автозагрузки буткит заражает MBR-сектор компьютера, записывая в него свой начальный загрузчик, который до запуска ОС считывает с диска и разворачивает в памяти основное тело буткита.

По словам FireEye, кибергруппа использует способ заражения системы на уровне секторов жесткого диска, компрометируя известную структуру Volume Boot Record (VBR), в которой расположены структуры данных файловой системы и код загрузчика.

88a52469411949b1ad08dc8a561c27e2

На иллюстрации выше показан процесс загрузки ОС в скомпрометированной BOOTRASH системе. Как видно, часть вредоносного кода раннего этапа загрузки записывается в последний сектор жесткого диска под названием Virtual File System (VFS), находящийся за пределами используемого ОС дискового пространства.

Файлы Nemesis BOOTRASH размещает в свободном пространстве между разделами диска для организации своей файловой системы. В остальном, поведение BOOTRASH мало чем отличается от обычных буткитов.

В файловой системе буткита хранятся такие важные файлы, необходимые для его функционирования, как vbr.bin, vbs.bin, а также bootldr.sys. Прочие исполняемые и data файлы могут храниться как в VFS, так и в качестве бинарных данных в разделе реестра HKCU\.Default\Identities. Ниже в таблице указаны такие компоненты.

12

Файл-носитель BOOTRASH имеет следующий идентификатор MD5: 372f1e4d2d5108bbffc750bb0909fc49.

Большинство существующих на сегодняшний день антивирусов и средств защиты от вредоносного ПО располагают инструментами проверки на предмет присутствия вредоносного кода как в MBR, так и в VBR с целью восстановления оригинального bootstrap-кода или кода загрузчика в случае обнаружения подмены. После потери кода в этих важных секторах буткит лишается возможности выполнения дальнейших операций, включая, активацию полезной нагрузки.

Источник: extremetech и habrahabr


Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: