Petya вернулся из мертвых. Теперь он шифрует MFT прямо через Secure Boot. Спасибо, Microsoft

Тут ESET выкатил детальный разбор нового шифровальщика HybridPetya. Казалось, что MFT-шифровальщики остались в прошлом и вот опять. Petya эволюционировал, но с двумя ключевыми апгрейдами, теперь он с полноценным UEFI-буткитом и с механизмом обхода Secure Boot.

Препарируем эту заразу. Инсталлятор определяет стандарт разметки диска, бэкапит оригинальный bootmgfw.efi в bootmgfw.efi.old, подменяет его своим буткитом, создает свои файлы (config, verify, counter) в EFIMicrosoftBoot и вызывает BSOD, чтобы принудительно перезагрузить систему и передать управление буткиту.

Но самый сок в обходе Secure Boot. Здесь используется уязвимость CVE-2024-7344. Атакующие кладут на ESP уязвимый, но легитимно подписанный Microsoft загрузчик reloader.efi (из стороннего recovery-софта), переименовав его в bootmgfw.efi. Рядом кладется файл cloak.dat, в котором и сидит сам неподписанный буткит. При загрузке система проверяет подпись reloader.efi, видит, что она валидна, и спокойно его запускает. А он, в свою очередь, тупо подгружает и выполняет код из cloak.dat, полностью обходя всю цепочку доверия Secure Boot. Всё это не выглядит как какой-то взлом, это скорее использование легитимного, но дырявого компонента. Троянский конь, которому сами открыли ворота, потому что у него на лбу печать Microsoft ?

Чтобы Петя не подпортил нервы, рекомендуется убедиться, что в системе установлены обновления Windows за январь 2025 или новее. Microsoft отозвала уязвимые загрузчики, добавив их хэши в dbx (базу отозванных подписей). Во-вторых, настроить в EDR/SIEM алерты на любую запись в EFIMicrosoftBoot. Это крайне низкошумный и высокоточный индикатор компрометации. И в-третьих, проверьте свои офлайн-бэкапы. Против MFT-шифраторов это единственное, что реально спасет.

Источник: vk.com

Комментарии: