|
据卡巴斯基安全实验室发布的分析报告,部分技嘉和华硕主板被感染UEFI恶意软件可以长期驻扎在系统里面。这个恶意软件是谁开发的暂时还不清楚,不过中国、俄罗斯、越南、伊朗以及个别欧洲国家可能是感染重点。 这个恶意软件最初也不是卡巴斯基发现的,在过去几年奇虎360和ESET等安全公司也都陆续捕获过恶意样本。尽管该恶意软件仅100KB但可以通过 Windows 内核钩子实现多种恶意操作,不过目前其感染目的也不清楚。
卡巴斯基研究报告摘录: 卡巴斯基安全实验室的研究人员在配备英特尔H81芯片组的华硕以及技嘉主板里发现 CosmicStrand rookit。该恶意软件通过感染UEFI固件实现长久驻留 , 且由于UEFI固件的特殊性即便格式化硬盘重装系统也无法清理。UEFI本质上就是个小型的操作系统,位于非易失性闪存芯片中,通常也直接焊接在主板上无法直接更换芯片。这意味着要想清理这个恶意软件必须使用特殊工具在系统关闭的情况下,重新刷写闪存固件将病毒彻底清除。奇虎360可能在2017年就已经发现CosmicStrand的早期版本,但是其感染时间最早应该可以追溯到2016年。由于是感染在UEFI层面的 , 因此想要检测出来也不容易 , 而黑客却可以通过恶意软件在系统上安装其他病毒。攻击目的暂时还不清楚: 这款恶意软件主要工作就是潜伏在UEFI里并通过钩子感染引导过程,可以实现在内核加载程序前就实现修改。然后黑客再通过其他函数安装钩子部署恶意代码,让系统在开机引导过程中就自动下载和安装其他恶意软件。CosmicStrand甚至可以禁用内核保护功能(微软内核补丁保护),完成这些工作后黑客可以实现多种恶意操作。卡巴斯基在研究报告中并没有提到黑客的恶意操作,不知道是没有捕获后续阶段的样本还是都是常规性操作。之前有类似的 UEFI rootkit 病毒感染后用来安装挖矿程序 , 在用户完全不知道的情况帮助黑客挖矿贡献收入。卡巴斯基表示研究表明针对UEFI的 rootkit 算是行业中的盲点,安全业界应该尽早想办法处理这类黑客攻击。
| 
IP归属地
雷达卡
发表于 2022-7-27 19:33:23
提帖卡
置顶卡
锁帖卡
解锁卡
显目卡
千斤顶
楼主
发表于 2022-7-28 12:55:43
