BIOS, UEFI, Руткит

Атаки на прошивку UEFI/BIOS: как выжить после переустановки системы

Короче, бро, суть проблемы жёсткая: переустановка Windows или даже замена SSD не спасает, если малварь засела в прошивке материнской платы — она живёт в чипе SPI flash, а не на диске, и переживает любой «чистый» wipe.

Почему форматирование не работает

UEFI — это программный слой, который запускается ещё до операционки и хранится физически на отдельном чипе на материнской плате. Когда антивирус или «Reset this PC» чистит диск, он трогает только файловую систему — сам чип с прошивкой остаётся неприкосновенным, и буткит просто перезагружается в память при каждом старте машины, до того как загрузится Windows. Именно поэтому Kaspersky прямо говорит: даже полная очистка диска и переустановка ОС не тронут заражённый UEFI.

Ключевые угрозы 2025-2026

Индустрия за последние годы накопила целую линейку публично задокументированных UEFI-имплантов, и каждый расширял возможности атакующих:

  • LoJax (2018) — первый в дикой природе UEFI-руткит, доказавший саму концепцию firmware-персистентности.
  • MoonBounce (2022) — селился в SPI flash материнки, требовал перепрошивки чипа официальным вендорским образом для удаления.
  • CosmicStrand (2022) — руткит, который Kaspersky прямо называл невозможным для удаления обычной переустановкой.
  • BlackLotus (2023) — первый буткит, обходящий Secure Boot даже на полностью пропатченной Windows 11 через эксплуатацию CVE-2022-21894.
  • Bootkit для Linux (ноябрь 2024) — ESET впервые нашла UEFI-буткит, целящийся именно в Linux-системы, что расширило поле атаки за пределы Windows.
  • CVE-2025-3052 — критическая дыра в подписанном UEFI-модуле, позволяющая отключить Secure Boot и выполнить неподписанный код до загрузки ОС, закрыта только в июньском Patch Tuesday 2025.

Как проверить свою систему

Есть конкретный чек-лист, который реально можно прогнать за 10 минут без спецсофта:

  • Открой msinfo32 и зафиксируй текущую версию BIOS/UEFI и дату — сверь с сайтом производителя на актуальность.
  • Проверь строку «Secure Boot State» в том же окне — должно быть «On», если «Off» или «Unsupported», это красный флаг.
  • Запусти tpm.msc и убедись, что TPM присутствует и активен — без него нет доверенного якоря для верификации прошивки.
  • На Linux сравни вывод mokutil --sb-state с прямым чтением через efivar, и проверь список MOK-ключей командой mokutil --list-enrolled — неизвестные сертификаты тоже сигнал тревоги.
  • Для глубокого аудита SPI-флеша запусти chipsec_main и проверь модули spi_lock, bios_wp, smrr — любой FAILED значит прошивку можно перезаписать программно.

Что реально помогает

Полное избавление от firmware-имплантов требует действий на уровне железа, а не файловой системы:

МераЧто даётОграничение
Обновление BIOS/UEFI через утилиту вендораПатчит известные SPI-уязвимости, обновляет revocation list Не спасает, если малварь переживает даже переустановку одинаковой версии
Применение Microsoft UEFI revocations через Windows UpdateБлокирует известные вредоносные подписанные модули (dbx-лист) Требует, чтобы производитель уже опубликовал revocation
Включённый Secure Boot + активный TPMБарьер против большинства угроз, интеграция с BitLocker BlackLotus доказал, что Secure Boot обходим даже на патченной Win11
Перепрошивка SPI flash через программаторЕдинственный надёжный способ снести имплант с чипа Нужен физический доступ и вендорский чистый образ; иногда не помогает — малварь переписывается обратно
Замена материнской платы100% гарантия избавления при глубоком компроматеДорого и избыточно для большинства случаев, но иногда единственный выход

Один пользователь на форуме Microsoft прямо описал классическую ловушку: перепрошивка BIOS не помогала, потому что «родственная» вирусная компонента в ОС каждый раз переписывала прошивку обратно — это показывает, что firmware-компромат нужно лечить одновременно и на уровне чипа, и на уровне ОС, иначе цикл заражения замкнётся снова.

Практический вывод для параноика

Если подозреваешь firmware-компромат — держи в голове простое правило: мониторинг EFI System Partition на неожиданные изменения файлов нужно настраивать сейчас, пока система чистая, чтобы иметь baseline для сравнения. А если Secure Boot уже скомпрометирован через SPI-имплант, специалисты прямо советуют относиться к этому как к сценарию замены материнской платы, а не просто перепрошивки — потому что цена ошибки здесь — полный контроль атакующего над машиной до загрузки любой ОС.

Атаки на прошивку UEFI/BIOS: как выжить после переустановки системы

На этом все. Всем хорошего дня!