吳明宜卡巴斯基安全研究人員發現,某些技嘉與華碩主機板上存在一款可能來自中國的 UEFI 韌體 rootkit 程式。
研究人員是在使用 Intel H81 晶片組的技嘉和華碩主機板上的韌體映像檔中發現名為 CosmicStrand 的 rootkit,來自一群說中文的駭客,顯示它們可能存在相同的漏洞。
研究人員相信攻擊者利用自動修補軟體變更了這些主機板的韌體,這顯示他們若非可直接接觸到這些主機板,就是使用了已植入主機板的嵌入程式。
遭感染的韌體映像檔包含 CSMCORE DXE 驅動程式,這個程式可方便從 MBR 磁碟分區格式以 legacy mode 執行系統開機。這驅動程式已經被加入程式碼,使其在系統啟動時執行,並驅動執行鏈,進而在 Windows 核心內安裝嵌入程式。
電腦開機管理員已加入 hook 讓攻擊者得以在 Windows 行前修改核心載入器,使其設定第二個 hook,後者隨後啟動,接管 Windows 執行過程,並在記憶體注入 shellcode 。然後在休眠期過後,惡意程式就把最後的 CosmicStrand 載入受害者機器。
這個 rootkit 也會試圖關閉電腦中的 PatchGuard 安全軟體。
感染機器內記憶體發現到和 CosmicStrand 有關的惡意程式樣本,卡巴斯基研究人員認為其用途是執行指令行,在本機管理員群組建立使用者帳號。
研究人員發現兩種 rootkit 變種,分別於 2016 到 2017 年中,以及 2020 年活動迄今,也都各自連接一台 C&C 伺服器。
CosmicStrand 的受害者分別位於中國、伊朗、俄羅斯和越南,並非分佈在特定組織或產業。
中國安全廠商奇虎 360 2017 年首先發現 CosmicStrand 的早期版本。該公司的客戶因從網路上買入一塊二手主機板後,苦於無法移除高滲透性的惡意軟體,而後向之求助。當時奇虎將之命名為 Spy Shadow 木馬程式。
來源:SecurityWeek