Представьте: вы переустановили Windows начисто, отформатировали диск, даже святой водой полили — а зловред как сидел, так и сидит. Нет, это не из области мистики, а вполне реальная угроза под названием UEFI-вредонос. Эта штука засела так глубоко в недрах компьютера, что даже замена жёсткого диска её не берёт.
UEFI-вредонос — это не какая-то очередная программка в автозагрузке, которую можно выцепить парой кликов. Это код, который стартует раньше операционной системы и спокойно переживает даже полную переустановку Windows или Linux. Сценариев атаки несколько: от подмены цепочки загрузки (так называемые буткиты) до внедрения модулей прямо в прошивку материнской платы.
В 2018 году ESET зафиксировала первый реальный случай — , в 2022-м появился буткит , способный обходить Secure Boot на полностью обновлённых системах. А совсем недавно, в январе 2025 года, Microsoft пропатчила очередную дыру CVE-2024-7344, которая тоже позволяла обходить Secure Boot. Именно поэтому привычное «форматнуть диск C:» тут не лекарство, а максимум косметика.
Краткий курс молодого бойца: какие угрозы нас подстерегают
Для начала разберёмся, с кем мы воюем. Упрощённо говоря, есть два основных типа атак на UEFI.Первый — это буткиты (bootkit). Суть проста: злоумышленники подменяют или встраиваются в цепочку загрузки компьютера (файлы shim, bootmgfw.efi, драйверы), иногда используя уязвимости в Secure Boot или неподписанные компоненты. BlackLotus стал первым публично известным буткитом, который смог обойти Secure Boot, используя уязвимость CVE-2022-21894. Microsoft патчила эту дыру ещё в январе 2022 года, но эксплуатация оставалась возможной, потому что уязвимые, но валидно подписанные бинарники долго не попадали в список отзыва UEFI.
Второй тип гораздо неприятнее — это имплантаты прошивки (firmware implant). Здесь речь идёт уже о реальном изменении образа прошивки в SPI-флеш памяти. Известные случаи включают MosaicRegressor, MoonBounce и CosmicStrand. Удаление таких гадостей — задача не из лёгких, часто требуется полная перепрошивка «железа».
Отдельно стоит упомянуть класс уязвимостей в вендорской прошивке. Свежий пример — уязвимости в прошивке Gigabyte (CVE-2025-7029, CVE-2025-7028, CVE-2025-7026), обнаруженные в июле 2025 года. А ещё был LogoFAIL, где «безобидный» логотип при старте мог стать троянским конём для вредоносного кода.
Красные флажки: на что обращать внимание
Мир UEFI довольно сложный, но есть признаки, которые должны вас насторожить быстрее, чем подозрительно дешёвые суши в переходе:- Secure Boot внезапно выключился «сам по себе». В логах или на экране замелькали предупреждения о нарушениях Secure Boot или неизвестных ключах. Это как если бы охранник на входе в банк вдруг решил взять отгул.
- Версия базы отзывов DBX устарела или не обновляется. Для Windows см. официальные рекомендации Microsoft: и .
- В Windows неожиданно отключились BitLocker, HVCI (защита целостности кода гипервизором) или Defender, хотя политики никто не менял. Это типичный побочный эффект BlackLotus, как будто вирус не просто поселился в доме, а ещё и поломал все замки.
- В разделе EFI появились странные папки или файлы, даты и подписи не совпадают с «заводскими» для вашей версии системы.
- Инструменты безопасности Linux понижают уровень «устойчивости хоста» (HSI) или жалуются на настройки прошивки.
Первичная диагностика в Windows: быстро и без боли
Начнём с небольшой диагностики, которая не потребует паяльника и внешних программаторов. Хотя последние, признаться, выглядят довольно брутально.Проверяем Secure Boot и ключи. Запускаем PowerShell от имени администратора и выполняем:
Get-SecureBootUEFI -Name SecureBoot,db,dbx,KEK,PK | ft Name,Bytes -Auto
Убеждаемся, что Secure Boot включён, а DBX (база отзывов) не времён динозавров. Если нужно процедуру отзывов или обновления — идём по .
Смотрим записи прошивочного загрузчика. В командной строке выполняем:
bcdedit /enum firmware
Неизвестные или «лишние» EFI-записи — повод копать глубже, особенно если они указывают на нестандартные пути. Это как найти в своей квартире ключи от чужой.
Оцениваем содержимое ESP (EFI System Partition). В PowerShell запускаем:
mountvol S: /S
dir S:\EFI\ /s /a
Проверяем даты и подписи EFI\Microsoft\Boot\bootmgfw.efi, смотрим на наличие неожиданных каталогов. В случаях с BlackLotus в цепочке могли появляться нестандартные файлы и попытки отключить защитные механизмы.
Антивирус, который реально читает UEFI. Коммерческие решения умеют сканировать область прошивки и EFI-раздел. Например, и . Это не волшебная палочка, но хороший триггер для дальнейших расследований.
Диагностика в Linux: когда пингвин помогает
В Linux есть удобный набор утилит, чтобы «пощупать» доверенную цепочку загрузки:- Статус Secure Boot: mokutil --sb-state (или --sb-status)
- Просмотр ключей и отзывов: efi-readvar -v db, efi-readvar -v dbx (из пакета efitools)
- Загрузочные записи: efibootmgr -v
- Оценка «здоровья» прошивки: fwupdmgr security — покажет HSI-уровень и конкретные рекомендации. Подробности о том, , помогут разобраться в результатах
Серьёзная артиллерия: низкоуровневые инструменты
Когда есть подозрения посерьёзнее простого «что-то не так», переходим к инструментам, которые заглядывают под операционную систему. Здесь нужна осторожность — как с огнестрельным оружием.CHIPSEC — это фреймворк от Intel для проверки защиты платформы, SPI-регистра, UEFI и конфигурации чипсета. Умеет выявлять отключённую защиту от записи, подозрительные модули, делать дамп SPI для анализа. Репозиторий: и документация .
Примеры использования (Windows/Linux, права администратора):
chipsec_main -i — инвентаризация защиты платформы
chipsec_util spi info — параметры SPI-контроллера и защита записи
chipsec_util uefi scan — базовый поиск аномалий в UEFI
chipsec_util spi dump spi.bin — дамп прошивки для офлайн-анализа
Анализ цепочки загрузки — для расследований по BlackLotus и похожим случаям пригодится сбор артефактов (журналы, реестр, состояние BitLocker/HVCI). Хорошее пошаговое руководство с правилами охоты есть у .
Сравнение прошивки — офлайн-сравнение дампа SPI с «эталонным» образом от производителя. В случае внедрений уровня MoonBounce и MosaicRegressor это самый надёжный способ подтвердить модификации. Правда, для этого нужно немного разбираться в том, где у материнской платы «плюс», а где «минус».
Арсенал цифрового детектива: инструменты и их возможности
Вот краткий справочник по основным инструментам:Get-SecureBootUEFI — показывает состояние Secure Boot/DB/DBX/PK/KEK, быстрая диагностика Windows. .
fwupdmgr security — оценка HSI, рекомендации по прошивке и защите. .
CHIPSEC — проверка SPI-защиты, анализ UEFI, дамп прошивки. .
ESET UEFI Scanner — сканирование UEFI/ESP на известные угрозы. .
Kaspersky AV for UEFI — защита и сканирование на уровне EFI. .
Подтверждение инцидента: чтобы не охотиться на призраков
UEFI-инциденты случаются редко, но дорого обходятся. Поэтому действуем как в форензике — методично и аккуратно. Собираем «снимок состояния»: дамп SPI (если возможно), список EFI-записей, содержимое ESP, логи событий, статус Secure Boot/DBX.Сверяемся с известными случаями: , , , .
Но сначала исключаем банальные вещи: внезапно отключённый Secure Boot, устаревший DBX, «самодельные» MOK-ключи. Иногда паранойя оказывается просто следствием забытых настроек или устаревших обновлений.
Лечение: от щадящих методов к радикальным
Подход к лечению зависит от глубины заражения. Всегда начинаем с минимально инвазивных шагов и обязательно делаем бэкапы — мало ли что пойдёт не так.Обновляем всё законно доступное: прошивку UEFI с сайта производителя и DBX/boot-отзывы. Для Windows — по . Для Linux — обновление dbx через LVFS .
Очищаем или воссоздаём ESP: удаляем неавторизованные каталоги, переустанавливаем загрузчик штатными средствами ОС. При буткит-сценариях этого часто достаточно.
Сброс NVRAM и восстановление ключей Secure Boot: возвращаем платформенные ключи (PK/KEK/DB), удаляем самоподписанные MOK (если их не должно быть).
Полная перепрошивка SPI: если подозрение на firmware implant, перепрошиваем официальным образом. При стойком заражении — читаем SPI внешним программатором, шьём «чистый» образ от производителя (или меняем материнскую плату). Это типичный рецепт в случаях типа MoonBounce. Если слова «SOIC-клипса» и «CH341A» вас пугают — лучше обратиться в сервис.
Ротация секретов: после очистки перевыпускаем ключ восстановления BitLocker/пароли, заново включаем HVCI/Defender, переподписываем загрузочные компоненты (если использовали собственные ключи).
Профилактика: чтобы история не повторилась
Как говорится, лучше предупредить болезнь, чем потом её лечить. Особенно когда речь идёт о таких неприятных вещах, как UEFI-вредоносы.Держите прошивку в актуальном состоянии и отключите CSM (Compatibility Support Module), если он вам не нужен — так уменьшается поверхность атаки. Старый добрый принцип «меньше функций — меньше проблем».
Следите за DBX и отзывами: обновления Microsoft и UEFI Forum периодически «зачищают» уязвимые загрузчики и подписи. выходят регулярно, как сводки погоды.
Не грузите сомнительные EFI-модули и не добавляйте MOK без необходимости. Любая «самоподписанная» вставка — это окно для злоумышленника. Лучше быть параноиком, чем жертвой.
Учитывайте новые классы уязвимостей. Например, CVE-2024-7344, которую Microsoft пропатчила в январе 2025 года, или LogoFAIL: по возможности запретите пользовательские логотипы в UEFI, чтобы не кормить парсеры неподписанными данными.
Используйте инструменты, которые видят «ниже ОС» — от до коммерческих UEFI-сканеров (, ).
Часто задаваемые вопросы (или попытки самоуспокоения)
Это точно UEFI-вирус? А может, ложное срабатывание?
Бывает и такое — паранойя иногда играет злые шутки. Сначала проверьте Secure Boot/DBX, записи EFI и ESP-содержимое. Если сомневаетесь, подтверждайте дампом SPI и сравнением с эталоном, как рекомендуют исследователи в разборах LoJax/BlackLotus.Есть ли кнопка «удалить в один клик»?
К сожалению, нет — иначе мы бы не писали такие подробные инструкции. Буткит можно выбить обновлением, отзывами и чисткой ESP. Имплант в прошивке — это почти всегда перепрошивка. Именно поэтому случаи вроде MoonBounce и CosmicStrand так неприятны.Стоит ли паниковать прямо сейчас?
Нет, но стоит включить цифровую гигиену: держите прошивку и DBX свежими, не отключайте Secure Boot «ради удобства», ограничьте MOK, и периодически проверяйте себя инструментами выше. Если нужны быстрые сводки по трендам — почитайте дайджесты ESET/Kaspersky по UEFI-угрозам.Чек-лист на один вечер: минимальная программа
- Windows: Get-SecureBootUEFI — убедиться, что Secure Boot включён и DBX актуален ().
- Windows: bcdedit /enum firmware, mountvol S: /S и ревизия S:\EFI\ на лишние артефакты.
- Linux: mokutil --sb-state, efi-readvar -v dbx, efibootmgr -v, fwupdmgr security.
- По возможности — chipsec_main -i и chipsec_util uefi scan. Если тревожные сигналы подтвердятся — думаем про дамп SPI и сравнение с эталоном.
- Обновить прошивку UEFI и DBX (Windows/Linux). Для Linux — проверьте
- Если найдены явные индикаторы компрометации: сохраняем артефакты, переподписываем/восстанавливаем ESP, при необходимости — перепрошивка.
Подробнее:
