Что за чудо такое — гипервизор? Хакеры из CrackWatch объяснили, как обезопасить свой ПК, если вы хотите играть во взломанные игры
Группировка CrackWatch опубликовала руководство по защите от рисков, связанных с использованием обходов на основе Hypervisor. Авторы предлагают решение, максимально приближенное к air-gap — физическому разделению систем.
Основной метод — использование двух отдельных ПК или, как минимум, двух независимых физических дисков. «Безопасную» установку (для работы и личных данных) рекомендуется зашифровать с помощью Veracrypt. Это защитит систему от нежелательных изменений со стороны потенциально скомпрометированной ОС. Для восстановления загрузчика потребуется создать диск восстановления Veracrypt на флешке FAT32 — он позволит загружаться напрямую, минуя вредоносные модификации.
«Небезопасную» ОС (предназначенную для игр с Hypervisor) следует устанавливать на отдельный физический диск, а не на другой раздел того же накопителя. Современные материнские платы позволяют полностью отключать конкретные SATA или M.2 порты, благодаря чему вредоносное ПО даже не сможет обнаружить существование «безопасной» установки.
Для удобства можно создать два отдельных профиля BIOS: один для безопасной работы со всеми функциями защиты (Secure Boot и отключением дисков с ценными данными), другой — для игр. При переключении на безопасный профиль Secure Boot должен блокировать любой несанкционированный загрузчик. Если этого не происходит, на помощь приходит диск восстановления Veracrypt.
Автор признаёт теоретическую возможность заражения прошивки вредоносным ПО с привилегиями ядра. Однако на практике такие атаки крайне редки и сложны: для перезаписи BIOS требуется использовать уязвимости в System Management Mode и обойти несколько уровней защиты — от контроллера SPI-флеш-памяти до Intel Boot Guard. Подавляющее большинство задокументированных случаев (Lojax, MoonBounce и др.) связаны с целенаправленными атаками государственных хакеров на политиков, журналистов или крупные компании. Такой тип вредоносного ПО не предназначен для массового распространения.
