Введение
Современные угрозы в мире кибербезопасности всё чаще стараются опуститься "ниже уровня радаров" — в буквальном смысле. Одной из таких областей становится прошивка материнской платы: UEFI (Unified Extensible Firmware Interface).
На конференции Black Hat USA 2025 исследователь Shota Matsuo представил доклад о новом классе угроз под названием Shade — платформе для загрузки зловредного ПО из UEFI, способной обходить почти все современные средства защиты.
Я постарался сделать краткий обзор Shade, но также оставляю ссылку на презентацию с его доклада.
Что такое Shade
Shade — это модульная UEFI-загрузка, позволяющая разворачивать малварь прямо из BIOS без взаимодействия с файловой системой ОС.
Преимущества:
Невидимость: антивирусы не видят активности;
Сохранение малвари даже после переустановки ОС;
Гибкость: поддержка модулей и загрузок из NVRAM.
Ключевые особенности
Характеристика | Описание |
|---|---|
Bootkit на основе DXE | Внедряется в драйверы на стадии DXE-фазы загрузки UEFI |
Payload из NVRAM | Зловред хранится в энергонезависимой памяти |
OS-agnostic | Работает независимо от ОС (Windows, Linux и др.) |
Runtime Injection | Инжектирует код при загрузке ОС |
Как работает атака
Компрометация прошивки — через физический или удалённый доступ;
Инжект Shade в DXE-фазу — добавляется драйвер;
Сохранение Payload в NVRAM — не детектируется стандартными средствами;
Инъекция при старте ОС — UEFI подгружает и запускает вредоносный код.
Примеры в дикой природе
Имя | Загрузчик UEFI | Payload | Обнаружена |
|---|---|---|---|
LoJax | Да | Cobalt Strike Beacon | 2018 (ESET) |
MoonBounce | Да | In-memory shellcode | 2021 (Kaspersky) |
CosmicStrand | Да | Userland trojan loader | 2022 (Kaspersky) |
Shade | Да | Любой (модульный) | 2025 (BlackHat USA) |
Кто в зоне риска?
Госсектор и критическая инфраструктура;
IT-компании, облачные провайдеры, дата-центры;
Производственные цепочки (supply chain);
Серверы и рабочие станции с UEFI-прошивкой от вендора.
Как защититься
1. Контроль целостности прошивки:
Использовать Intel Boot Guard или аналогичные технологии.
Проверка хэшей прошивки через TPM или внешние верификаторы.
2. Мониторинг NVRAM:
Подозрительные переменные (
EfiBadNvram,EfiStage1Payloadи др.)
3. Безопасное обновление BIOS:
Только с верифицированных источников или через внешние программаторы.
4. Антивирусы с поддержкой UEFI-анализа:
ESET, SentinelOne, Eclypsium, Kaspersky и др.
Хочешь проверить свою систему?
1. Используй CHIPSEC
CHIPSEC — это open-source фреймворк от Intel для анализа безопасности платформы, включая прошивки BIOS/UEFI, ACPI, SPI Flash и NVRAM.
Установка (Linux / Windows):
bash pip install chipsecПросмотр содержимого NVRAM:
bash chipsec_util nvram listВ случае Shade и похожих UEFI-загрузчиков, нужно искать подозрительные переменные, например:
EfiStage1PayloadEfiBadNvramEfiRuntimePatchПеременные с нестандартными GUID'ами
2. Проверь целостности UEFI и SPI Flash
Проверь, были ли изменения в прошивке или есть ли скрытые разделы SPI.
bash chipsec_util spi dump spi_dump.binЗатем можно использовать:
bash chipsec_util spi verify spi_dump.binИли "вручную" сравни бинарник с оригинальной прошивкой от производителя.
Заключение
UEFI-малварь, и особенно такие платформы как Shade, демонстрируют, насколько хрупкими могут быть традиционные границы защиты. Если BIOS заражён — пользователь может даже не подозревать об этом, пока не станет слишком поздно.
"Если вы контролируете BIOS, вы контролируете всё."
Больше новостей в моём Telegram. Подписывайтесь!
