Итак коротко, по сути и расставляя акценты в нужных местах.
В начале обратимся к тому, что писал Symantec уже почти год назад. Статья называлась Are MBR Infections Back in Fashion? (Инфицирование MBR возвращается в моду?)
Перевожу их материал, потому что в нем много полезной информации. С помощью него же можно собрать в голове материал по буткитам в какую-то общую картину.
Symantec пишет:
Заражение MBR открывает большие возможности для дальнейшего глубокого заражения компьютера, а также получения контроля над ним, что делает эту идею привлекательной для малваре-писателей. Современные методы заражения MBR являются довольно сложной задачей, которая под силу не всем авторам малвари, а только высококвалифицированным. Вероятно, это одна из причин, из-за которой у создателей Trojan.Mebroot не появилось так много последователей, после того как техника инфицирования MBR была вновь открыта в 2007 (основываясь на работах, выполненных eEye Digital Security в 2005 в проекте BootRoot). Mebroot был сложной малварью, он также имел прямой доступ к диску для записи своего кода в его сектора, ставя таким образом ОС в неведение о своем существовании. Такой тип низкоуровневого заражения в сочетании со сложной руткит-составляющей делает его трудным для идентификации и лечения. Путь к победе над ним состоит в том, чтобы получить доступ к диску минуя перехваты руткита или получить управление до того, как зараженная MBR будет исполнена.
В то время как заражение MBR было опорой для Mebroot с самого начала, другая банда, которая несет ответственность за такую сложную угрозу как Backdoor.Tidserv (первоначально заражающей драйверы) решили что они также будут иметь дело с MBR. Они взяли на вооружение механизм заражения MBR летом 2010 для версий Backdoor.Tidserv.L и последующих. Наряду с Mebroot и Tidserv также появилось ряд других угроз между 2008 и 2010, которые использовали метод заражения MBR, например, Trojan.Mebratix и Trojan.Bootlock.
Перенесемся в наше время, картина малвари, заражающей MBR значительно изменилась. К 2011 мы видели такие угрозы как: Backdoor.Tidserv.M, Trojan.Smitnyl, Trojan.Fispboot, Trojan.Alworo, и Trojan.Cidox. Эта статистика показывает увеличение количества малвари, использующей бутовый период выполнения (в частности, использование MBR) как путь заражения машин.Следует также отметить, что значительная часть наработок для буткитов уже была сделана исследователями ранее. Когда исследователи опубликовали детали BootRoot и VBootkit, авторы малвари буквально взяли эти наработки и PoC'и и просто адаптировали их для своих нужд.В соответствии с нашими наблюдениями, мы можем сказать, что значительное количество семейств малвари, заражающей MBR, заимствовали эту технику у концептуального проекта - BootRoot. Появление мало живущих по времени вымогателей (MBRLock) придали вес этой идее. Вымогатели сделаны для единственной цели и не ожидается от них длительного срока работы, так что люди, которые их пишут не хотят тратить много времени и усилий в их создание, а также скрытие на машине. Это резко контрастирует с более продвинутыми примерами бэкдоров, создатели которых пытаются построить полезную и прочную зомби-сеть для извлечения прибыли. Это признак того, что барьер для прихода такого типа малвари был снижен. На текущий момент, вся последняя малварь, атакующая бутовый период исполнения нацелена именно на MBR, за исключением Trojan.Cidox, который использует несколько другой подход. Вместо MBR, он заражает Initial Program Loader для достижения похожего общего эффекта.
Итак, главные возможности, которые обеспечивают буткиты (или малварь бутового периода исполнения):
- Возможность стартовать раньше ОС, т. о. получать контроль над ней.
- Как следствие первого пункта, скрывать малварный пейлоад от AV-детекторов (которые используют возможности ОС).
- Практически единственная возможность стартовать свой код режима ядра в x64.
