卡巴斯基在技嘉与华硕主机板的UEFI韧体上,发现谜样的恶意程式CosmicStrand
ithome
资安业者卡巴斯基(Kaspersky)本周指出,他们在技嘉(Gigabyte)与华硕(ASUS)主
机板上的统一可延伸韧体接口(Unified Extensible Firmware Interface,UEFI)发现
了一个Rootkit恶意程式CosmicStrand,相信CosmicStrand源自于讲中文的骇客,且从大
家还没开始讨论UEFI恶意程式的2016年就问世,直至现在,CosmicStrand仍是一个谜团。
UEFI是一个介于平台韧体与作业系统之间的软件接口,它负责启动装置,再将控制权交给
加载作业系统的软件,通常存放在主机板的快闪存储器中。因此,若UEFI被植入恶意程式
,除了难以侦测之外,就算是重灌作业系统,甚至换掉硬盘,都无法移除它。
不过,要在UEFI上植入恶意程式并非易事,骇客必须实际存取装置,或是借由精细的手法
自远端感染,这些都需要付出庞大的心力才能实现,因此,UEFI恶意程式最常出现在目标
攻击中。
卡巴斯基发现的是CosmicStrand的变种,其主要功能是在系统启动时下载恶意程式,进而
执行骇客所指定的任务,当它成功通过了启动的所有阶段之后,便会执行一个Shellcode
,连结骇客服务器,再接收恶意酬载。研究人员在受害电脑上现一个疑似与CosmicStrand
有关的恶意程式,该恶意程式会在作业系统上建立一个具备管理员权限的新帐号aaaabbbb
(下图),而此一发现与奇虎360团队(Qihoo360)在2017年的揭露一致。
更有趣的是,这些遭到CosmicStrand感染的使用者,都是一些名不见经传的小人物,也未
隶属于任何重要的组织,亦仅使用免费版的卡巴斯基防毒软件。受害者主要分布于中国、
越南、伊朗与俄罗斯。
迄今卡巴斯基研究人员无从了解CosmicStrand究竟是如何入侵主机板上的UEFI韧体的,仅
知所有受到感染的都是技嘉与华硕主机板,它们的共通点是使用英特尔的H81芯片组,由
于目前所观察到的受害者都是寻常百姓,让研究人员猜测或许是某个元件含有可自远端于
UEFI植入恶意程式的安全漏洞。
不仅是感染途径扑朔,研究人员也无法确定CosmicStrand的实际感染数量或是C&C服务器
数量,研究人员更好奇的是,倘若骇客在2016年就知道利用UEFI恶意程式,那么这群骇客
现在使用的是什么?
由于CosmicStrand有许多程式码模式都与中国骇客所打造的挖矿程式MyKings类似,使得
卡巴斯基认为CosmicStrand应是由中文骇客所打造,或至少利用了中文的共享资源。
https://www.ithome.com.tw/news/152146
受害者虽皆为寻常百姓
但内心突然有个阴谋论
该不会这些百姓都是隶属于某个秘密组织XD
作者:
eva00ave (loxer)
2022-07-29 08:25:00h81 感染到那种不升级的机构比较危吧
作者:
tn601374 (earlaon)
2022-07-29 08:57:00原来是h81啊,没事就好xd
作者:
brandx (brandx)
2022-07-29 09:18:00b85涩涩花抖
作者:
hbj1941 (diy arcade)
2022-07-29 10:03:00h81喔,我去回收厂找找
作者:
tetani (喵喵)
2022-07-29 10:08:00可能是挖矿的主机板
作者: geesegeese (殴) 2022-07-29 10:22:00
卡巴?呵呵
作者:
keineAhnung (Ich weißes nicht.)
2022-07-29 10:35:00卡巴
作者:
mscp (chop squad)
2022-07-29 11:08:00家中各一B85/H87瑟瑟发抖ing
作者:
kisia (Zetsubo Billy)
2022-07-29 11:12:00B85M-G当年的护板神板
我也看到一个恶意程式会随意发动战争卡巴你有头绪吗?
作者: fish10241 (绯火) 2022-07-29 11:34:00
还好我还在B75,没事儿
一般人还在用这么旧的东西也不会有什么重要资料可以偷啦
作者: Medic 2022-07-29 12:09:00
因为是安装卡巴才发现的吧? 所以没装卡巴但bios有问题的
作者: liusean (旁观者) 2022-07-29 12:21:00
H81…嗯
作者:
SONYPS5 (无)
2022-07-29 12:31:00会得猴痘吗?XD
作者:
sorrojvr (sorrojvr)
2022-07-29 12:39:00还好不是P55 我主力机没事另一台965芯片应该也没事
作者:
s32214 (LukeYue)
2022-07-29 12:57:00卡?
现在最夯的是啥? 以前不是都推崇卡巴小红伞? XDDDD
作者:
oppoR20 (R20)
2022-07-29 13:08:00B85/H81的主机目前应该还是蛮多公家机关和学校在用喔XD我们实验室就一台
作者:
kisia (Zetsubo Billy)
2022-07-29 13:11:00因为卡巴好用 自然就会这样 不管免费付费都是
作者:
kimula01 (Dior_Homme)
2022-07-29 13:17:00来了 俄国人开始泄弄小习的后门了
作者:
ccbbaa 2022-07-29 13:26:00很多品牌套装电脑都用这类文书主机板吧
去google了一下卡巴有免费的啊,只是中文版没更新到吧用习惯了就不想换了+1 政治问题我不在意
这些国家 不就独裁专制的吗? 会监视你 正常吧?搞不好这种是国家机器?
作者: harryzx0 (DMD_LIFE) 2022-07-29 14:30:00
韧体也会中毒?
作者:
air8426 (Air)
2022-07-29 15:28:00俄罗斯公司 布丁的英毛喔
作者:
kqalea (沙丁鱼罐头)
2022-07-29 15:42:00DDOS的僵尸也是要养阿
作者:
suifong (小火柴)
2022-07-29 17:33:00PTT防毒版都推荐来自俄国的卡巴斯基,有什么不好吗?
作者:
sdbb (帮我泡杯卡布奇诺)
2022-07-29 18:46:00CIH不是躲在机器韧体里,是破坏机器韧体
我敢保证 目前台湾网站没有免费板 但我也不否认有人抓的到
作者:
kimula01 (Dior_Homme)
2022-07-29 20:12:00有免费版啊 让你用30天而已
作者: pcfox (京极元狐) 2022-07-29 23:33:00
卡巴哈哈 帮布丁捞私房钱打邻居蒸蚌
作者:
JKGOOD 2022-07-30 23:33:002022开始卡巴免费版不提供中文所以是英文免费版,但没锁区
作者:
xSAUCEx (索思)
2022-07-31 01:23:00结论主机板选MSI就可以了