Введение
Киберугрозы стремительно уходят на всё более глубокие уровни, где традиционные средства защиты неэффективны. Одной из таких областей стала прошивка материнской платы — UEFI/BIOS. На конференции Black Hat USA 2025 исследователь Kazuki Matsuo (FFRI Security) представил новый класс атак под названием Shade BIOS — технику, позволяющую вредоносному ПО работать прямо из BIOS-среды, оставаясь полностью невидимым для антивирусов и систем мониторинга.
Что такое Shade BIOS
Shade BIOS — это подход, при котором область BIOS сохраняется в памяти и продолжает функционировать после загрузки операционной системы. В результате создаётся скрытая среда выполнения, где может запускаться зловредный код. Такая техника обходит почти все современные механизмы обнаружения: от антивирусов до EDR/XDR.
Ключевые особенности Shade BIOS
* Невидимость: активность не фиксируется системным логированием и антивирусами.
* Устойчивость: вредонос сохраняется даже при переустановке ОС.
* Независимость: работает на большинстве систем с UEFI, вне зависимости от ОС.
* Простота реализации: достаточно встроить код в BIOS и скрыть его при загрузке ОС.
Преимущества Shade BIOS
Характеристика | Описание
BIOS в рантайме | BIOS сохраняется в памяти и работает параллельно с ОС
Payload из NVRAM | Зловред может храниться в энергонезависимой памяти
OS-agnostic | Совместимость с Windows, Linux и другими ОС
Runtime Injection | Вредоносный код подгружается во время запуска системы
Как работает атака
1. Заражение прошивки — через физический доступ, supply chain или уязвимости обновления.
2. Внедрение Shade BIOS в фазе DXE загрузки.
3. Сохранение вредоносных модулей в NVRAM.
4. Маскировка памяти BIOS, чтобы ОС «не заметила» её работу.
5. Инъекция вредоносного кода при старте ОС.
Примеры реальных UEFI-загрузчиков
* LoJax (2018) — первый публичный UEFI-rootkit (ESET).
* MoonBounce (2021) — вредонос от APT41 с хранением в SPI Flash (Kaspersky).
* CosmicStrand (2022) — модульный загрузчик троянов (Kaspersky).
* Shade BIOS (2025) — новая техника работы BIOS после старта ОС (Black Hat USA).
Кто в зоне риска
* Государственные структуры и критическая инфраструктура.
* IT-компании, облачные сервисы и дата-центры.
* Производственные цепочки (supply chain).
* Серверы и рабочие станции с прошивками от популярных вендоров.
Методы защиты
1. Контроль целостности прошивки: Intel Boot Guard, проверка хэшей через TPM.
2. Мониторинг NVRAM: поиск подозрительных переменных (например, *EfiStage1Payload*).
3. Безопасное обновление BIOS: только с проверенных источников.
4. UEFI-форенсика: использование фреймворков (Chipsec, UefiMemDump, UEberForensIcs).
5. Антивирусы с поддержкой анализа UEFI: ESET, Kaspersky, Eclypsium, SentinelOne.
Проверка системы
* С помощью CHIPSEC можно анализировать BIOS/UEFI, NVRAM и SPI Flash.
* Команды для Linux/Windows:
pip install chipsec
chipsec_util nvram list
chipsec_util spi dump spi_dump.bin
chipsec_util spi verify spi_dump.bin
* Следует обращать внимание на необычные переменные в NVRAM и изменения в SPI Flash.
Заключение
Shade BIOS — это демонстрация того, что если прошивка скомпрометирована, никакая операционная система или антивирус не смогут гарантировать защиту. Контроль BIOS равен контролю всей системы. Поэтому организациям необходимо внедрять практики постоянного мониторинга прошивки и форенсики UEFI в свои стратегии киберзащиты.
⬇️Поддержать автора⬇️
✅SBER: 2202 2050 7215 4401