卡巴斯基在技嘉与华硕主机板的UEFI韧体上,发现谜样的恶意程式CosmicStrand
卡巴斯基发现CosmicStrand有许多程式码模式,都与中国骇客打造的挖矿程式MyKings类
似,而且早在UEFI恶意程式尚未被讨论的2016年就问世
文/陈晓莉 | 2022-07-27发表
图片来源:
freestocks on unsplash
资安业者卡巴斯基(Kaspersky)本周指出,他们在技嘉(Gigabyte)与华硕(ASUS)主
机板上的统一可延伸韧体接口(Unified Extensible Firmware Interface,UEFI)发现
了一个Rootkit恶意程式CosmicStrand,相信CosmicStrand源自于讲中文的骇客,且从大
家还没开始讨论UEFI恶意程式的2016年就问世,直至现在,CosmicStrand仍是一个谜团。
UEFI是一个介于平台韧体与作业系统之间的软件接口,它负责启动装置,再将控制权交给
加载作业系统的软件,通常存放在主机板的快闪存储器中。因此,若UEFI被植入恶意程式
,除了难以侦测之外,就算是重灌作业系统,甚至换掉硬盘,都无法移除它。
不过,要在UEFI上植入恶意程式并非易事,骇客必须实际存取装置,或是借由精细的手法
自远端感染,这些都需要付出庞大的心力才能实现,因此,UEFI恶意程式最常出现在目标
攻击中。
卡巴斯基发现的是CosmicStrand的变种,其主要功能是在系统启动时下载恶意程式,进而
执行骇客所指定的任务,当它成功通过了启动的所有阶段之后,便会执行一个Shellcode
,连结骇客服务器,再接收恶意酬载。研究人员在受害电脑上现一个疑似与CosmicStrand
有关的恶意程式,该恶意程式会在作业系统上建立一个具备管理员权限的新帐号aaaabbbb
(下图),而此一发现与奇虎360团队(Qihoo360)在2017年的揭露一致。
图片来源/卡巴斯基
更有趣的是,这些遭到CosmicStrand感染的使用者,都是一些名不见经传的小人物,也未
隶属于任何重要的组织,亦仅使用免费版的卡巴斯基防毒软件。受害者主要分布于中国、
越南、伊朗与俄罗斯。
迄今卡巴斯基研究人员无从了解CosmicStrand究竟是如何入侵主机板上的UEFI韧体的,仅
知所有受到感染的都是技嘉与华硕主机板,它们的共通点是使用英特尔的H81芯片组,由
于目前所观察到的受害者都是寻常百姓,让研究人员猜测或许是某个元件含有可自远端于
UEFI植入恶意程式的安全漏洞。
不仅是感染途径扑朔,研究人员也无法确定CosmicStrand的实际感染数量或是C&C服务器
数量,研究人员更好奇的是,倘若骇客在2016年就知道利用UEFI恶意程式,那么这群骇客
现在使用的是什么?
由于CosmicStrand有许多程式码模式都与中国骇客所打造的挖矿程式MyKings类似,使得
卡巴斯基认为CosmicStrand应是由中文骇客所打造,或至少利用了中文的共享资源。
8月2日更新资讯
华硕在8月2日上午表示,经过他们的调查,这起事件是主机板的BIOS烧录器遭到不明外力
窜改,或是在更换ROM元件时被植入此恶意软件,主要影响购买二手主机板的使用者,将
有机会取得内含恶意软件的产品,因此这起事件并非骇客透过主机板UEFI BIOS的漏洞攻
击造成。文⊙iThome电脑报资安主编罗正汉
=================================================================================
我的主机板是华硕H310-D配I7-8700 刚好是发现这个病毒初期时做的
基本上这个病毒 只是观察你的行为
记录你的密码 和 打字
然后控制你的键盘和鼠标和萤幕和宽带 适当的给你一些警告
例如我的天堂2M 会自己打开自动挂机程式并行动
然后在你的银幕短暂显示一些字串 警告你 并不会留给你时间拍照
然后吃掉你的宽带 一直显示有流量 但是不是你使用的程式再占的
然后纪录 你的 打字纪录 并上传
我会发现我电脑的GOOGLE帐号会搜寻一些我搜寻过的东西
并把资料搜寻纪录传到我手机
我想不到的是 连我手机的打字纪录 也被上传
因为我手机有也用华硕 打字过炒作中兴赚一百万 但没送出
但是我电脑微软也出现过中兴赚一百万的搜寻纪录
但我想这只是小小的警告而已 叫我不要大嘴巴