Новости Новости 09.12.2015 в 13:14 comment

Исследователи FireEye обнаружили новый опасный буткит BOOTRASH, входящий в набор вредоносного ПО Nemesis

author avatar
https://secure.gravatar.com/avatar/7e8fea7f1b4653ed9e1cb2c65e965ae6?s=96&r=g&d=https://itc.ua/wp-content/uploads/2023/06/no-avatar.png *** https://secure.gravatar.com/avatar/7e8fea7f1b4653ed9e1cb2c65e965ae6?s=96&r=g&d=https://itc.ua/wp-content/uploads/2023/06/no-avatar.png *** https://itc.ua/wp-content/themes/ITC_6.0/images/no-avatar.svg

Володимир Скрипін

Ексзаступник головного редактора

bootkit-head-640x353-860x450

Специалисты по информационной безопасности из компании FireEye обнаружили новый буткит, вредоносная программа, модифицирующая загрузочный сектор MBR. Новый вредитель, получивший название BOOTRASH, входит в набор вредоносного ПО под общим названием Nemesis, который применяется кибергруппой FIN1 для кражи информации у банков и других финансовых структур.

Обнаружение и удаление буткита является крайне сложной задачей в силу природы семейство данных вредоносных программ. Для обеспечения автозагрузки буткит заражает MBR-сектор компьютера, записывая в него свой начальный загрузчик, который до запуска ОС считывает с диска и разворачивает в памяти основное тело буткита.

По словам FireEye, кибергруппа использует способ заражения системы на уровне секторов жесткого диска, компрометируя известную структуру Volume Boot Record (VBR), в которой расположены структуры данных файловой системы и код загрузчика.

88a52469411949b1ad08dc8a561c27e2

На иллюстрации выше показан процесс загрузки ОС в скомпрометированной BOOTRASH системе. Как видно, часть вредоносного кода раннего этапа загрузки записывается в последний сектор жесткого диска под названием Virtual File System (VFS), находящийся за пределами используемого ОС дискового пространства.

Файлы Nemesis BOOTRASH размещает в свободном пространстве между разделами диска для организации своей файловой системы. В остальном, поведение BOOTRASH мало чем отличается от обычных буткитов.

В файловой системе буткита хранятся такие важные файлы, необходимые для его функционирования, как vbr.bin, vbs.bin, а также bootldr.sys. Прочие исполняемые и data файлы могут храниться как в VFS, так и в качестве бинарных данных в разделе реестра HKCU\.Default\Identities. Ниже в таблице указаны такие компоненты.

Курс Full-stack developer від Mate academy.
Fullstack developer вміє працювати як з фронтендом, так і з бекендом сайта. Закінчуйте з нами курс Full-stack developer та отримуйте можливість гарно заробляти!
Отримати знижку на курс

12

Файл-носитель BOOTRASH имеет следующий идентификатор MD5: 372f1e4d2d5108bbffc750bb0909fc49.

Большинство существующих на сегодняшний день антивирусов и средств защиты от вредоносного ПО располагают инструментами проверки на предмет присутствия вредоносного кода как в MBR, так и в VBR с целью восстановления оригинального bootstrap-кода или кода загрузчика в случае обнаружения подмены. После потери кода в этих важных секторах буткит лишается возможности выполнения дальнейших операций, включая, активацию полезной нагрузки.

Источник: extremetech и habrahabr

Loading comments...

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: