Атаки на прошивку UEFI/BIOS: как выжить после переустановки системы
Короче, бро, суть проблемы жёсткая: переустановка Windows или даже замена SSD не спасает, если малварь засела в прошивке материнской платы — она живёт в чипе SPI flash, а не на диске, и переживает любой «чистый» wipe.
Почему форматирование не работает
UEFI — это программный слой, который запускается ещё до операционки и хранится физически на отдельном чипе на материнской плате. Когда антивирус или «Reset this PC» чистит диск, он трогает только файловую систему — сам чип с прошивкой остаётся неприкосновенным, и буткит просто перезагружается в память при каждом старте машины, до того как загрузится Windows. Именно поэтому Kaspersky прямо говорит: даже полная очистка диска и переустановка ОС не тронут заражённый UEFI.
Ключевые угрозы 2025-2026
Индустрия за последние годы накопила целую линейку публично задокументированных UEFI-имплантов, и каждый расширял возможности атакующих:
- LoJax (2018) — первый в дикой природе UEFI-руткит, доказавший саму концепцию firmware-персистентности.
- MoonBounce (2022) — селился в SPI flash материнки, требовал перепрошивки чипа официальным вендорским образом для удаления.
- CosmicStrand (2022) — руткит, который Kaspersky прямо называл невозможным для удаления обычной переустановкой.
- BlackLotus (2023) — первый буткит, обходящий Secure Boot даже на полностью пропатченной Windows 11 через эксплуатацию CVE-2022-21894.
- Bootkit для Linux (ноябрь 2024) — ESET впервые нашла UEFI-буткит, целящийся именно в Linux-системы, что расширило поле атаки за пределы Windows.
- CVE-2025-3052 — критическая дыра в подписанном UEFI-модуле, позволяющая отключить Secure Boot и выполнить неподписанный код до загрузки ОС, закрыта только в июньском Patch Tuesday 2025.
Как проверить свою систему
Есть конкретный чек-лист, который реально можно прогнать за 10 минут без спецсофта:
- Открой
msinfo32и зафиксируй текущую версию BIOS/UEFI и дату — сверь с сайтом производителя на актуальность. - Проверь строку «Secure Boot State» в том же окне — должно быть «On», если «Off» или «Unsupported», это красный флаг.
- Запусти
tpm.mscи убедись, что TPM присутствует и активен — без него нет доверенного якоря для верификации прошивки. - На Linux сравни вывод
mokutil --sb-stateс прямым чтением черезefivar, и проверь список MOK-ключей командойmokutil --list-enrolled— неизвестные сертификаты тоже сигнал тревоги. - Для глубокого аудита SPI-флеша запусти
chipsec_mainи проверь модулиspi_lock,bios_wp,smrr— любой FAILED значит прошивку можно перезаписать программно.
Что реально помогает
Полное избавление от firmware-имплантов требует действий на уровне железа, а не файловой системы:
| Мера | Что даёт | Ограничение |
|---|---|---|
| Обновление BIOS/UEFI через утилиту вендора | Патчит известные SPI-уязвимости, обновляет revocation list | Не спасает, если малварь переживает даже переустановку одинаковой версии |
| Применение Microsoft UEFI revocations через Windows Update | Блокирует известные вредоносные подписанные модули (dbx-лист) | Требует, чтобы производитель уже опубликовал revocation |
| Включённый Secure Boot + активный TPM | Барьер против большинства угроз, интеграция с BitLocker | BlackLotus доказал, что Secure Boot обходим даже на патченной Win11 |
| Перепрошивка SPI flash через программатор | Единственный надёжный способ снести имплант с чипа | Нужен физический доступ и вендорский чистый образ; иногда не помогает — малварь переписывается обратно |
| Замена материнской платы | 100% гарантия избавления при глубоком компромате | Дорого и избыточно для большинства случаев, но иногда единственный выход |
Один пользователь на форуме Microsoft прямо описал классическую ловушку: перепрошивка BIOS не помогала, потому что «родственная» вирусная компонента в ОС каждый раз переписывала прошивку обратно — это показывает, что firmware-компромат нужно лечить одновременно и на уровне чипа, и на уровне ОС, иначе цикл заражения замкнётся снова.
Практический вывод для параноика
Если подозреваешь firmware-компромат — держи в голове простое правило: мониторинг EFI System Partition на неожиданные изменения файлов нужно настраивать сейчас, пока система чистая, чтобы иметь baseline для сравнения. А если Secure Boot уже скомпрометирован через SPI-имплант, специалисты прямо советуют относиться к этому как к сценарию замены материнской платы, а не просто перепрошивки — потому что цена ошибки здесь — полный контроль атакующего над машиной до загрузки любой ОС.

На этом все. Всем хорошего дня!
