卡巴斯基在技嘉与华硕主机板的UEFI韧体上,发现谜样的恶意程式CosmicStrand
ithome
资安业者卡巴斯基(Kaspersky)本周指出,他们在技嘉(Gigabyte)与华硕(ASUS)主
机板上的统一可延伸韧体接口(Unified Extensible Firmware Interface,UEFI)发现
了一个Rootkit恶意程式CosmicStrand,相信CosmicStrand源自于讲中文的骇客,且从大
家还没开始讨论UEFI恶意程式的2016年就问世,直至现在,CosmicStrand仍是一个谜团。
UEFI是一个介于平台韧体与作业系统之间的软件接口,它负责启动装置,再将控制权交给
加载作业系统的软件,通常存放在主机板的快闪存储器中。因此,若UEFI被植入恶意程式
,除了难以侦测之外,就算是重灌作业系统,甚至换掉硬盘,都无法移除它。
不过,要在UEFI上植入恶意程式并非易事,骇客必须实际存取装置,或是借由精细的手法
自远端感染,这些都需要付出庞大的心力才能实现,因此,UEFI恶意程式最常出现在目标
攻击中。
卡巴斯基发现的是CosmicStrand的变种,其主要功能是在系统启动时下载恶意程式,进而
执行骇客所指定的任务,当它成功通过了启动的所有阶段之后,便会执行一个Shellcode
,连结骇客服务器,再接收恶意酬载。研究人员在受害电脑上现一个疑似与CosmicStrand
有关的恶意程式,该恶意程式会在作业系统上建立一个具备管理员权限的新帐号aaaabbbb
(下图),而此一发现与奇虎360团队(Qihoo360)在2017年的揭露一致。
更有趣的是,这些遭到CosmicStrand感染的使用者,都是一些名不见经传的小人物,也未
隶属于任何重要的组织,亦仅使用免费版的卡巴斯基防毒软件。受害者主要分布于中国、
越南、伊朗与俄罗斯。
迄今卡巴斯基研究人员无从了解CosmicStrand究竟是如何入侵主机板上的UEFI韧体的,仅
知所有受到感染的都是技嘉与华硕主机板,它们的共通点是使用英特尔的H81芯片组,由
于目前所观察到的受害者都是寻常百姓,让研究人员猜测或许是某个元件含有可自远端于
UEFI植入恶意程式的安全漏洞。
不仅是感染途径扑朔,研究人员也无法确定CosmicStrand的实际感染数量或是C&C服务器
数量,研究人员更好奇的是,倘若骇客在2016年就知道利用UEFI恶意程式,那么这群骇客
现在使用的是什么?
由于CosmicStrand有许多程式码模式都与中国骇客所打造的挖矿程式MyKings类似,使得
卡巴斯基认为CosmicStrand应是由中文骇客所打造,或至少利用了中文的共享资源。
https://www.ithome.com.tw/news/152146
受害者虽皆为寻常百姓
但内心突然有个阴谋论
该不会这些百姓都是隶属于某个秘密组织XD