卡巴斯基发现了一种名为CosmicStrand的新恶意软件,它会影响采用英特尔芯片组的华硕和技嘉主板。报告指出,CosmicStrand是一种UEFI固件Rootkit,是一种将自身植入操作系统最深处的恶意软件,因此很难检测到,由于这是我们正在谈论的Rootkit,它将确保即使重新安装操作系统或用户完全更换硬盘驱动器,受影响的计算机仍处于受感染状态。CosmicStrand恶意软件的早期变种可以追溯到2017年,由一位中国作者发现,但新版本使PC处于更易受攻击的状态。
带有英特尔芯片组的华硕和技嘉主板易受CosmicStrand“UEFI固件Rootkit”恶意软件2的影响
根据该报告,CosmicStrand恶意软件主要影响基于英特尔H81芯片组的华硕和技嘉主板。rootkit将自身附加到该公司主板的固件映像上,这表明可能存在一个常见漏洞,允许攻击者将rootkit注入固件映像中。
UEFI恶意软件作者面临一个独特的技术挑战:他们的植入程序在启动过程中很早就开始运行,以至于操作系统(在本例中为Windows)甚至还没有加载到内存中——到那时,UEFI执行上下文将具有终止。找到一种在各个启动阶段一直传递恶意代码的方法是rootkit完成的主要任务。
工作流程包括连续设置钩子[1],允许恶意代码持续到操作系统启动后。涉及的步骤是:
该恶意软件在启动管理器中设置了一个恶意钩子,允许它在执行之前修改Windows的内核加载程序。
通过篡改操作系统加载程序,攻击者能够在Windows内核的功能中设置另一个钩子。
当稍后在操作系统的正常启动过程中调用该函数时,恶意软件最后一次控制了执行流程。
它在内存中部署一个shellcode并联系C2服务器以检索实际的恶意负载,以在受害者的机器上运行。
据说在中国、越南、伊朗和俄罗斯等多个地区发现了受害者。这些区域内的PC已受到CosmicStrand的影响,并且似乎是个人。据信,CosmicStrand恶意软件是由一名说中文的威胁行为者“利用华语威胁行为者之间共享的公共资源”开发的。
CosmicStrand是一个复杂的UEFI固件rootkit,它允许其所有者实现非常持久的持久性:计算机的整个生命周期,同时非常隐蔽。它似乎已经使用了几年,但仍有许多谜团。还有多少植入物和C2服务器仍然在躲避我们?哪些最后阶段的有效载荷正在交付给受害者?而且,CosmicStrand真的有可能通过包裹“拦截”接触到一些受害者吗?无论如何,迄今为止发现的多个rootkit证明了我们行业中的一个盲点,需要尽早解决。
这份报告最引人注目的方面是,这种UEFI植入物似乎自2016年底以来就已被广泛使用——早在UEFI攻击开始被公开描述之前。这一发现引出了最后一个问题:如果这就是攻击者当时使用的东西,那么他们今天使用的是什么?
到目前为止,似乎没有针对CosmicStrand漏洞的解决方法,建议不要购买基于旧IntelH81芯片组的旧Gigabyte和ASUS主板。但这告诉我们,考虑到CosmicStrand已经存在几年了,可能还有更多与BIOS固件相关的漏洞变种。
标签:
免责声明:本文由用户上传,如有侵权请联系删除!