卡巴斯基在技嘉與華碩主機板的UEFI韌體上,發現謎樣的惡意程式CosmicStrand
ithome
資安業者卡巴斯基(Kaspersky)本周指出,他們在技嘉(Gigabyte)與華碩(ASUS)主
機板上的統一可延伸韌體介面(Unified Extensible Firmware Interface,UEFI)發現
了一個Rootkit惡意程式CosmicStrand,相信CosmicStrand源自於講中文的駭客,且從大
家還沒開始討論UEFI惡意程式的2016年就問世,直至現在,CosmicStrand仍是一個謎團。
UEFI是一個介於平臺韌體與作業系統之間的軟體介面,它負責啟動裝置,再將控制權交給
載入作業系統的軟體,通常存放在主機板的快閃記憶體中。因此,若UEFI被植入惡意程式
,除了難以偵測之外,就算是重灌作業系統,甚至換掉硬碟,都無法移除它。
不過,要在UEFI上植入惡意程式並非易事,駭客必須實際存取裝置,或是藉由精細的手法
自遠端感染,這些都需要付出龐大的心力才能實現,因此,UEFI惡意程式最常出現在目標
攻擊中。
卡巴斯基發現的是CosmicStrand的變種,其主要功能是在系統啟動時下載惡意程式,進而
執行駭客所指定的任務,當它成功通過了啟動的所有階段之後,便會執行一個Shellcode
,連結駭客伺服器,再接收惡意酬載。研究人員在受害電腦上現一個疑似與CosmicStrand
有關的惡意程式,該惡意程式會在作業系統上建立一個具備管理員權限的新帳號aaaabbbb
(下圖),而此一發現與奇虎360團隊(Qihoo360)在2017年的揭露一致。
更有趣的是,這些遭到CosmicStrand感染的使用者,都是一些名不見經傳的小人物,也未
隸屬於任何重要的組織,亦僅使用免費版的卡巴斯基防毒軟體。受害者主要分布於中國、
越南、伊朗與俄羅斯。
迄今卡巴斯基研究人員無從了解CosmicStrand究竟是如何入侵主機板上的UEFI韌體的,僅
知所有受到感染的都是技嘉與華碩主機板,它們的共通點是使用英特爾的H81晶片組,由
於目前所觀察到的受害者都是尋常百姓,讓研究人員猜測或許是某個元件含有可自遠端於
UEFI植入惡意程式的安全漏洞。
不僅是感染途徑撲朔,研究人員也無法確定CosmicStrand的實際感染數量或是C&C伺服器
數量,研究人員更好奇的是,倘若駭客在2016年就知道利用UEFI惡意程式,那麼這群駭客
現在使用的是什麼?
由於CosmicStrand有許多程式碼模式都與中國駭客所打造的挖礦程式MyKings類似,使得
卡巴斯基認為CosmicStrand應是由中文駭客所打造,或至少利用了中文的共享資源。
https://www.ithome.com.tw/news/152146
受害者雖皆為尋常百姓
但內心突然有個陰謀論
該不會這些百姓都是隸屬於某個秘密組織XD
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.175.169.182 (臺灣)
※ 文章網址 ※
推
eva00ave :
h81
感染到那種不升級的機構比較危吧
07/29 08:25
推
Xpwa563704ju :
韌體居然也能被感染,怎麼搞得
07/29 08:36
推
luuuking :
版廠看到h81:不修了,建議更換新電腦
07/29 08:38
推
tn601374 :
原來是h81啊,沒事就好xd
07/29 08:57
→
justice2008 :
怕
還好不是G41
我還有兩張
07/29 09:03
推
DellSale999 :
還好我沒錢
只能用Z69系列貧民晶片
07/29 09:17
推
brandx :
b85澀澀花抖
07/29 09:18
→
guanluvsquat :
笑死
昨天才修到一部H81
07/29 09:59
→
hbj1941 :
h81喔,我去回收廠找找
07/29 10:03
推
tetani :
可能是挖礦的主機板
07/29 10:08
→
doomerptt :
可能是mb賣給你時
店家偷偷燒進去的?
07/29 10:18
→
acebruce :
在到貨時開箱偷燒比較可能
07/29 10:21
推
geesegeese :
卡巴?呵呵
07/29 10:22
噓
keineAhnung :
卡巴
07/29 10:35
推
mscp :
家中各一B85/H87瑟瑟發抖ing
07/29 11:08
→
kisia :
B85M-G當年的護板神板
07/29 11:12
噓
Wilson310 :
我也看到一個惡意程式
07/29 11:16
→
Wilson310 :
會隨意發動戰爭
07/29 11:16
→
Wilson310 :
卡巴你有頭緒嗎?
07/29 11:16
→
fish10241 :
還好我還在B75,沒事兒
07/29 11:34
推
kaj1983 :
一般人還在用這麼舊的東西也不會有什麼重要資料可以偷啦
07/29 11:35
推
shinobunodok :
卡巴?
07/29 11:56
→
Medic :
因為是安裝卡巴才發現的吧?
所以沒裝卡巴但bios有問題的
07/29 12:09
推
wison4451 :
還好只有用過H55
(?
07/29 12:09
→
Medic :
用戶數量應該也是很龐大
07/29 12:09
推
liusean :
H81…嗯
07/29 12:21
推
SONYPS5 :
會得猴痘嗎?XD
07/29 12:31
推
sorrojvr :
還好不是P55
我主力機沒事
07/29 12:39
→
sorrojvr :
另一台965晶片應該也沒事
07/29 12:40
推
newforte :
還好我都用dos
07/29 12:47
推
s32214 :
卡?
07/29 12:57
推
Wishmaster :
現在最夯的是啥?
以前不是都推崇卡巴小紅傘?
XDDDD
07/29 13:00
推
meicon5566 :
內建派吧
三不五時就出來嘴2022還有人用防毒
07/29 13:02
→
justice2008 :
卡巴現在台灣官網就沒免費的
免費仔當然不推
07/29 13:07
推
oppoR20 :
B85/H81的主機目前應該還是蠻多公家機關和學校在用喔XD
07/29 13:08
→
oppoR20 :
我們實驗室就一台
07/29 13:08
推
leon19790602 :
其實你去防毒版看根本被卡巴洗版,都可以改名卡巴合
07/29 13:08
→
leon19790602 :
購版惹
07/29 13:08
→
kisia :
因為卡巴好用
自然就會這樣
不管免費付費都是
07/29 13:11
推
kimula01 :
來了
俄國人開始洩弄小習的後門了
07/29 13:17
推
AerobladeIII :
鵝國軟體pa55。我用芬安全
07/29 13:19
推
doomsday0728 :
俄羅斯防毒?呵呵
07/29 13:22
推
ccbbaa :
很多品牌套裝電腦都用這類文書主機板吧
07/29 13:26
推
kaj1983 :
去google了一下卡巴有免費的啊,只是中文版沒更新到吧
07/29 13:31
→
kaj1983 :
用習慣了就不想換了+1
政治問題我不在意
07/29 13:32
→
wonder007 :
中國、越南、伊朗與俄羅斯
嗯嗯
真剛好
07/29 13:37
推
ppt12527 :
這些尋常百姓會不會是修卡秘密組織潛伏成員
07/29 13:39
→
doomerptt :
這些國家
不就獨裁專制的嗎?
會監視你
正常吧?
07/29 14:26
→
doomerptt :
搞不好這種是國家機器?
07/29 14:27
推
harryzx0 :
韌體也會中毒?
07/29 14:30
→
air8426 :
俄羅斯公司
布丁的英毛喔
07/29 15:28
→
kevin1221 :
還好有卡巴
07/29 15:40
推
kqalea :
DDOS的殭屍也是要養阿
07/29 15:42
推
quicknick :
有點像早期的CIH病毒
07/29 16:38
推
suifong :
PTT防毒版都推薦來自俄國的卡巴斯基,有甚麼不好嗎?
07/29 17:33
推
sdbb :
CIH不是躲在機器韌體裡,是破壞機器韌體
07/29 18:46
→
justice2008 :
我敢保證
目前台灣網站沒有免費板
但我也不否認
07/29 19:11
→
justice2008 :
有人抓的到
07/29 19:11
推
kimula01 :
有免費版啊
讓你用30天而已
07/29 20:12
推
canandmap :
到底有沒有免費版?我都不知道是反串還是認真了
07/29 22:41
噓
pcfox :
卡巴哈哈
幫布丁撈私房錢打鄰居蒸蚌
07/29 23:33
噓
JKGOOD :
2022開始卡巴免費版不提供中文
07/30 23:33
→
JKGOOD :
所以是英文免費版,但沒鎖區
07/30 23:33
推
xSAUCEx :
結論主機板選MSI就可以了
07/31 01:23
