| 关键词: 固件 恶意 研究人员 一个 rootkit 代码 CosmicStrand 注入 攻击者 软件 |
研究人员无法确定最初的攻击媒介,但对恶意代码的分析使专家能够发现哪些设备可以被CosmicStrand感染。rootkit位于技嘉或华硕主板的UEFI固件中,这些固件与使用H81芯片组的设计有关。研究人员推测存在一个常见漏洞,攻击者利用该漏洞将rootkit注入固件映像。 感染UEFI固件的恶意软件非常隐蔽,即使受害者重装系统,也无法清除UEFI固件中的恶意软件。 “在这些固件映像中,已对CSMCORE DXE驱动程序进行了修改,其入口点已被修补以重定向到.reloc部分中添加的代码。这段代码在系统启动期间执行,会触发一个长执行链,导致在Windows中下载和部署恶意组件。” 研究人员认为,攻击者可能使用了恶意软件植入物来注入rootkit,或者可能已对目标设备进行了物理访问。 感染过程旨在篡改操作系统加载程序以在Windows内核的功能中设置另一个挂钩。一旦在操作系统的正常引导过程中调用此函数,恶意软件就会最后一次控制执行流程。 恶意代码在内存中注入shellcode并连接C2服务器,以在目标计算机上运行有效载荷。 CosmicStrand通过向C2服务器(update.bokts[.]com)发送一个特制的UDP或TCP数据包来检索最终的有效负载,C2服务器反过来回复一个或多个包含具有特定结构的528字节的数据包。然后这些块被重新组装成一系列字符,映射到内核空间并解释为shellcode。 研究人员确定受害者是位于中国、越南、伊朗和俄罗斯的个人,与任何组织或垂直行业没有联系。 CosmicStrand是一个复杂的UEFI固件rootkit,它的所有者可以实现持久性控制:计算机的整个生命周期,同时非常隐蔽。它似乎已经使用了几年,但仍有许多谜团。 参考链接:securityaffairs.co |
| 本文出处: https://www.toutiao.com/article/7124542081992884748/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|