作者DsLove710 (DoraApen)
看板PC_Shopping
標題[情報] 卡巴在技嘉&華碩主板UEFI韌體發現惡意程式
時間Fri Jul 29 08:23:02 2022
卡巴斯基在技嘉與華碩主機板的UEFI韌體上,發現謎樣的惡意程式CosmicStrand
ithome
資安業者卡巴斯基(Kaspersky)本周指出,他們在技嘉(Gigabyte)與華碩(ASUS)主
機板上的統一可延伸韌體介面(Unified Extensible Firmware Interface,UEFI)發現
了一個Rootkit惡意程式CosmicStrand,相信CosmicStrand源自於講中文的駭客,且從大
家還沒開始討論UEFI惡意程式的2016年就問世,直至現在,CosmicStrand仍是一個謎團。
UEFI是一個介於平臺韌體與作業系統之間的軟體介面,它負責啟動裝置,再將控制權交給
載入作業系統的軟體,通常存放在主機板的快閃記憶體中。因此,若UEFI被植入惡意程式
,除了難以偵測之外,就算是重灌作業系統,甚至換掉硬碟,都無法移除它。
不過,要在UEFI上植入惡意程式並非易事,駭客必須實際存取裝置,或是藉由精細的手法
自遠端感染,這些都需要付出龐大的心力才能實現,因此,UEFI惡意程式最常出現在目標
攻擊中。
卡巴斯基發現的是CosmicStrand的變種,其主要功能是在系統啟動時下載惡意程式,進而
執行駭客所指定的任務,當它成功通過了啟動的所有階段之後,便會執行一個Shellcode
,連結駭客伺服器,再接收惡意酬載。研究人員在受害電腦上現一個疑似與CosmicStrand
有關的惡意程式,該惡意程式會在作業系統上建立一個具備管理員權限的新帳號aaaabbbb
(下圖),而此一發現與奇虎360團隊(Qihoo360)在2017年的揭露一致。
更有趣的是,這些遭到CosmicStrand感染的使用者,都是一些名不見經傳的小人物,也未
隸屬於任何重要的組織,亦僅使用免費版的卡巴斯基防毒軟體。受害者主要分布於中國、
越南、伊朗與俄羅斯。
迄今卡巴斯基研究人員無從了解CosmicStrand究竟是如何入侵主機板上的UEFI韌體的,僅
知所有受到感染的都是技嘉與華碩主機板,它們的共通點是使用英特爾的H81晶片組,由
於目前所觀察到的受害者都是尋常百姓,讓研究人員猜測或許是某個元件含有可自遠端於
UEFI植入惡意程式的安全漏洞。
不僅是感染途徑撲朔,研究人員也無法確定CosmicStrand的實際感染數量或是C&C伺服器
數量,研究人員更好奇的是,倘若駭客在2016年就知道利用UEFI惡意程式,那麼這群駭客
現在使用的是什麼?
由於CosmicStrand有許多程式碼模式都與中國駭客所打造的挖礦程式MyKings類似,使得
卡巴斯基認為CosmicStrand應是由中文駭客所打造,或至少利用了中文的共享資源。
https://www.ithome.com.tw/news/152146
受害者雖皆為尋常百姓
但內心突然有個陰謀論
該不會這些百姓都是隸屬於某個秘密組織XD
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.175.169.182 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1659054184.A.E96.html
推 eva00ave: h81 感染到那種不升級的機構比較危吧 07/29 08:25
推 Xpwa563704ju: 韌體居然也能被感染,怎麼搞得 07/29 08:36
推 luuuking: 版廠看到h81:不修了,建議更換新電腦 07/29 08:38
推 tn601374: 原來是h81啊,沒事就好xd 07/29 08:57
→ justice2008: 怕 還好不是G41 我還有兩張 07/29 09:03
推 DellSale999: 還好我沒錢 只能用Z69系列貧民晶片 07/29 09:17
推 brandx: b85澀澀花抖 07/29 09:18
→ guanluvsquat: 笑死 昨天才修到一部H81 07/29 09:59
→ hbj1941: h81喔,我去回收廠找找 07/29 10:03
推 tetani: 可能是挖礦的主機板 07/29 10:08
→ doomerptt: 可能是mb賣給你時 店家偷偷燒進去的? 07/29 10:18
→ acebruce: 在到貨時開箱偷燒比較可能 07/29 10:21
推 geesegeese: 卡巴?呵呵 07/29 10:22
噓 keineAhnung: 卡巴 07/29 10:35
推 mscp: 家中各一B85/H87瑟瑟發抖ing 07/29 11:08
→ kisia: B85M-G當年的護板神板 07/29 11:12
噓 Wilson310: 我也看到一個惡意程式 07/29 11:16
→ Wilson310: 會隨意發動戰爭 07/29 11:16
→ Wilson310: 卡巴你有頭緒嗎? 07/29 11:16
→ fish10241: 還好我還在B75,沒事兒 07/29 11:34
推 kaj1983: 一般人還在用這麼舊的東西也不會有什麼重要資料可以偷啦 07/29 11:35
推 shinobunodok: 卡巴? 07/29 11:56
→ Medic: 因為是安裝卡巴才發現的吧? 所以沒裝卡巴但bios有問題的 07/29 12:09
推 wison4451: 還好只有用過H55 (? 07/29 12:09
→ Medic: 用戶數量應該也是很龐大 07/29 12:09
推 liusean: H81…嗯 07/29 12:21
推 SONYPS5: 會得猴痘嗎?XD 07/29 12:31
推 sorrojvr: 還好不是P55 我主力機沒事 07/29 12:39
→ sorrojvr: 另一台965晶片應該也沒事 07/29 12:40
推 newforte: 還好我都用dos 07/29 12:47
推 s32214: 卡? 07/29 12:57
推 Wishmaster: 現在最夯的是啥? 以前不是都推崇卡巴小紅傘? XDDDD 07/29 13:00
推 meicon5566: 內建派吧 三不五時就出來嘴2022還有人用防毒 07/29 13:02
→ justice2008: 卡巴現在台灣官網就沒免費的 免費仔當然不推 07/29 13:07
推 oppoR20: B85/H81的主機目前應該還是蠻多公家機關和學校在用喔XD 07/29 13:08
→ oppoR20: 我們實驗室就一台 07/29 13:08
推 leon19790602: 其實你去防毒版看根本被卡巴洗版,都可以改名卡巴合 07/29 13:08
→ leon19790602: 購版惹 07/29 13:08
→ kisia: 因為卡巴好用 自然就會這樣 不管免費付費都是 07/29 13:11
推 kimula01: 來了 俄國人開始洩弄小習的後門了 07/29 13:17
推 AerobladeIII: 鵝國軟體pa55。我用芬安全 07/29 13:19
推 doomsday0728: 俄羅斯防毒?呵呵 07/29 13:22
推 ccbbaa: 很多品牌套裝電腦都用這類文書主機板吧 07/29 13:26
推 kaj1983: 去google了一下卡巴有免費的啊,只是中文版沒更新到吧 07/29 13:31
→ kaj1983: 用習慣了就不想換了+1 政治問題我不在意 07/29 13:32
→ wonder007: 中國、越南、伊朗與俄羅斯 嗯嗯 真剛好 07/29 13:37
推 ppt12527: 這些尋常百姓會不會是修卡秘密組織潛伏成員 07/29 13:39
→ doomerptt: 這些國家 不就獨裁專制的嗎? 會監視你 正常吧? 07/29 14:26
→ doomerptt: 搞不好這種是國家機器? 07/29 14:27
推 harryzx0: 韌體也會中毒? 07/29 14:30
→ air8426: 俄羅斯公司 布丁的英毛喔 07/29 15:28
→ kevin1221: 還好有卡巴 07/29 15:40
推 kqalea: DDOS的殭屍也是要養阿 07/29 15:42
