卡巴斯基發現技嘉與華碩的舊主機板暗藏中國UEFI Rootkit程式

卡巴斯基安全研究人員發現,某些技嘉與華碩主機板上存在一款可能來自中國的UEFI韌體rootkit程式。

卡巴斯基安全研究人員發現,某些技嘉與華碩主機板上存在一款可能來自中國的UEFI韌體rootkit程式。

研究人員是在使用Intel H81晶片組的技嘉和華碩主機板上的韌體映像檔中發現名為CosmicStrand的rootkit,來自一群說中文的駭客,顯示它們可能存在相同的漏洞。

研究人員相信攻擊者利用自動修補軟體變更了這些主機板的韌體,這顯示他們若非可直接接觸到這些主機板,就是使用了已植入主機板的嵌入程式。

遭感染的韌體映像檔包含CSMCORE DXE驅動程式,這個程式可方便從MBR磁碟分區格式以legacy mode執行系統開機。這驅動程式已經被加入程式碼,使其在系統啟動時執行,並驅動執行鏈,進而在Windows核心內安裝嵌入程式。

電腦開機管理員已加入hook讓攻擊者得以在Windows行前修改核心載入器,使其設定第二個hook,後者隨後啟動,接管Windows執行過程,並在記憶體注入shellcode。然後在休眠期過後,惡意程式就把最後的CosmicStrand載入受害者機器。

這個rootkit也會試圖關閉電腦中的PatchGuard安全軟體。

感染機器內記憶體發現到和CosmicStrand有關的惡意程式樣本,卡巴斯基研究人員認為其用途是執行指令行,在本機管理員群組建立使用者帳號。

研究人員發現兩種rootkit變種,分別於2016到2017年中,以及2020年活動迄今,也都各自連接一台C&C伺服器。

CosmicStrand的受害者分別位於中國、伊朗、俄羅斯和越南,並非分佈在特定組織或產業。

中國安全廠商奇虎360 2017年首先發現CosmicStrand的早期版本。該公司的客戶因從網路上買入一塊二手主機板後,苦於無法移除高滲透性的惡意軟體,而後向之求助。當時奇虎將之命名為Spy Shadow木馬程式。

來源:SecurityWeek

 

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416