🧐Атаки на UEFI UEFI - мини-ОС, которая стартует раньше загрузчика, раньше ядра, раньше любого антивируса. Код, записанный в SPI-флеш материнской платы, живёт независимо от диска. Форматирование, смена накопителя и переустановка системы его не затрагивают. Реальные примеры - CosmicStrand, MoonBounce, BlackLotus - все три пережили полный вайп диска. Атакующий с правами администратора записывает вредоносный DXE-драйвер в NVRAM через уязвимый UEFI-апдейтер, либо патчит загрузчик ОС ещё до её старта. SPI-флеш защищена битами BIOS_CNTL, но на многих платах эта защита либо отключена производителем, либо обходится через уязвимый SMM-обработчик: # Проверить защиту SPI на Linux apt install flashrom flashrom -p internal --get-size # Если чтение проходит без sudo — защита слабая Штатными средствами - почти никак невозможно детектить. CHIPSEC от Intel проверяет защитные биты и конфигурацию UEFI, UEFITool позволяет проанализировать дамп прошивки на посторонние DXE-модули. Самый надёжный способ - сравнить хэш прошивки с эталоном вендора вручную: flashrom -p internal -r bios_dump.bin python chipsec_main.py -m common.bios_wp Защита: включённый Secure Boot с кастомными ключами, пароль на BIOS и запрет изменения настроек - базовый минимум. Если платформа поддерживает Boot Guard - он аппаратно верифицирует прошивку до передачи управления загрузчику, и обойти это значительно сложнее. CHIPSEC стоит запускать как часть регулярного аудита. Если атакующий добрался до UEFI - у него persistence, которую не видит ни один EDR. Прошивка - следующий фронт после ОС #Кибербастион #UEFI #Атака #Защита