研究人员在技嘉和华硕主板中发现被植入UEFI Rootkit
2022-7-28 08:3:42 Author: 雾晓安全(查看原文) 阅读量:19 收藏

    近日,反病毒厂商卡巴斯基的一支安全威胁研究团队近日发现了名为“CosmicStrand”的恶意程序。事实上,这款恶意程序并不是新病毒,而且曾在 2016-2017年爆发“Spy Shadow”木马的更早版本。目前在华硕和技嘉的固件中发现了这款UEFI恶意程序,即使重新安装Windows系统也无法移除这款UEFI恶意程序。

    卡巴斯基表示现阶段只有Windows系统受到攻击:“现阶段发现的所有攻击设备都运行Windows系统:每次电脑重启,在Windows重启之后将会执行一段恶意代码。该代码的目的是连接到C2(命令和控制)服务器,并下载额外可执行的恶意程序”。

    卡巴斯基在深度剖析Securelist文章中,对该恶意程序的运行机制进行了详细的描述:工作流程包括连续设置钩子,使恶意代码持续到OS启动后。涉及的步骤是:

1.整个链条的起始是感染固件引导

2.该恶意软件在启动管理器中设置了恶意钩,允许在执行Windows的内核加载程序之前修改它。

3.通过篡改OS加载器,攻击者可以在Windows内核的功能中设置另一个钩子。

4.当后来在OS的正常启动过程中调用该功能时,恶意软件最后一次控制执行流程。

5.它在内存中部署了一个壳牌码,并与C2服务器联系以检索实际的恶意有效载荷以在受害者的机器上运行。

来源:安全圈

往期文章:

扫码加入粉丝群

     WUXIAOTEAM


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2NDM2MTE5Mw==&mid=2247493657&idx=2&sn=45a757c9db21d6629286a2f302bf8665&chksm=ce68279ff91fae89e6ed94ed164baf79df04ddae80def20aaaed9091ee1b1a8145cbdfbda75e#rd
如有侵权请联系:admin#unsafe.sh