Admin
Администратор
«Перебить» винду не поможет. Вирус MoonBounce прячется в самом «сердце» вашего компьютера.
Традиционные защитные программы даже не поймут, что система скомпрометирована.
Специалист по анализу вредоносного ПО Ли Бяомин, известный под псевдонимом Seeker, опубликовал подробные исследовательские заметки, посвящённые импланту MoonBounce и его работе на уровне UEFI-прошивки. Материал сосредоточен на изучении DXE Core — ключевого компонента загрузочной архитектуры, который управляет запуском всех последующих модулей на этапе DXE и фактически выступает «операционной системой» внутри прошивки.
В основе исследования лежит анализ того, как MoonBounce внедряется прямо в исполняемый код DXE Core. Вместо создания отдельного модуля вредоносная логика встраивается в уже существующие функции, что позволяет перехватывать критически важные этапы загрузки системы. В частности, автор описывает механизм inline-перехватов в службах EFI, через которые имплант получает контроль над процессами выделения памяти, обработки событий и перехода от прошивки к загрузчику операционной системы.
Отдельное внимание уделено универсальности схемы атаки. MoonBounce способен адаптироваться к разным сценариям загрузки — как с использованием режима совместимости CSM, так и в чистой UEFI-среде. В одном случае управление передаётся через события legacy-загрузки, в другом — через перехват точки перехода от прошивки к ядру операционной системы. Это делает имплант устойчивым к различным конфигурациям и архитектурам систем.
В исследовании подчёркивается, что подобная архитектура требует глубокого понимания внутренней логики UEFI и точек доверия внутри загрузочного процесса. MoonBounce фактически «вшивает» свою логику в само ядро выполнения прошивки, получая доступ к управлению системой ещё до запуска драйверов и компонентов ОС. Такой подход значительно усложняет обнаружение и анализ угрозы.
Ли Бяомин опирается на ранее опубликованные материалы команды «Лаборатории Касперского» и компании Binarly, которые связывают MoonBounce с группировкой APT41, также известной как Winnti. Его заметки не повторяют технические отчёты, а дополняют их концептуальным разбором архитектуры атаки и логики внедрения в DXE Core, показывая, как эволюционируют современные прошивочные импланты и почему они становятся всё более сложными для выявления и нейтрализации.
