卡巴斯基发现感染技嘉华硕主板UEFI固件的Rootkit后门

2022-08-04|

研究人员无法确定最初的攻击媒介,但对恶意代码的分析使专家能够发现哪些设备可以被CosmicStrand感染。rootkit位于技嘉或华硕主板的UEFI固件中,这些固件与使用H81芯片组的设计有关。研究人员推测存在一个常见漏洞,攻击者利用该漏洞将rootkit注入固件映像。

感染UEFI固件的恶意软件非常隐蔽,即使受害者重装系统,也无法清除UEFI固件中的恶意软件。

“在这些固件映像中,已对CSMCORE DXE驱动程序进行了修改,其入口点已被修补以重定向到.reloc部分中添加的代码。这段代码在系统启动期间执行,会触发一个长执行链,导致在Windows中下载和部署恶意组件。”

研究人员认为,攻击者可能使用了恶意软件植入物来注入rootkit,或者可能已对目标设备进行了物理访问。

感染过程旨在篡改操作系统加载程序以在Windows内核的功能中设置另一个挂钩。一旦在操作系统的正常引导过程中调用此函数,恶意软件就会最后一次控制执行流程。

恶意代码在内存中注入shellcode并连接C2服务器,以在目标计算机上运行有效载荷。

CosmicStrand通过向C2服务器(update.bokts[.]com)发送一个特制的UDP或TCP数据包来检索最终的有效负载,C2服务器反过来回复一个或多个包含具有特定结构的528字节的数据包。然后这些块被重新组装成一系列字符,映射到内核空间并解释为shellcode。

研究人员确定受害者是位于中国、越南、伊朗和俄罗斯的个人,与任何组织或垂直行业没有联系。

CosmicStrand是一个复杂的UEFI固件rootkit,它的所有者可以实现持久性控制:计算机的整个生命周期,同时非常隐蔽。它似乎已经使用了几年,但仍有许多谜团。

参考链接:securityaffairs.co


标签: 固件 恶意 研究人员 一个 rootkit 代码 CosmicStrand 注入 攻击者 软件
出处: https://www.toutiao.com/article/7124542081992884748/

文明发言,请先登录

文明上网理性发言,请遵守国家法律法规。

最新评论

©2003- 黑基网 黑名单存档手机版网站地图免责条款法律声明隐私保护