【2022/UEFIBootkit】CosmicStrand，某作者评价，不如HyperVBootkit

tdsskiller

https://securelist.com/cosmicstrand-uefi-firmware-rootkit/106973/
我感觉可能还不如老外那些沙雕uefi外{过}{滤}挂
@wowocock



现代rootkit/bootkit正统在外{过}{滤}挂里

wowocock

看了下CosmicStrand的介绍，基本就是我在2017年发现的BIOS谍影木马的分析。当时我就说了和暗云3系列应该是同一批的，汇编代码相似度90%以上。但当时只发现了那么一个。估计国内没流行开来。估计老外那也有类似的。

wowocock

CR4SH以前看过，记得是利用卡巴的UEFI启动劫持来实现的，不过貌似被微软拉黑名单了。在SECURE BOOT的机器上起不来。不过能物理接触机器的话，可以把DBX那个黑名单干掉，然后美滋滋的加载。

wowocock

https://opentip.kaspersky.com/E3 ... amp;utm_campaign=SL,这里提供了个暗云3系列的DLL样本，可以运行rundll32 xxx.dll test 感染暗云3系列，然后测试下查杀。急救箱强力模式处理这类的时候，有2个注意点
1，在c:\windows\system32、下会生成一个Phymem0.log，包含了木马在DOS下驻留高端内存的病毒代码DUMP
2，启动的时候，会默认恢复MBR并自动重启，所以不用紧张。暗云3系列在WIN7 X64下非常隐蔽，除了内存SHELLCODE，你啥也看不到。包括他的磁盘HOOK,挂在磁盘微端口的内部结构中，导致啥也看不到。

UBitch

wowocock 发表于 2022-7-26 15:29
https://opentip.kaspersky.com/E31C43DD8CB17E9D68C65E645FB3F6E8/?utm_source=SL&utm_medium=SL&utm_camp ...

那我直接用DG重建下EFI分区表，系统一重装就能解决了吧

ANY.LNK

UBitch 发表于 2022-7-26 15:44
那我直接用DG重建下EFI分区表，系统一重装就能解决了吧

这是写在固件里的，要想动它得刷固件（UEFI），动EFI分区表（本质上还是存在硬盘里的）对根除它没多大用，但可以一定程度上减轻它所带来的影响

UBitch

ANY.LNK 发表于 2022-7-26 15:49
这是写在固件里的，要想动它得刷固件（UEFI），动EFI分区表（本质上还是存在硬盘里的）没多大用

重新刷写下BIOS应该就没问题了，加上现在UEFI有Capsule更新

wowocock

UBitch 发表于 2022-7-26 15:44
那我直接用DG重建下EFI分区表，系统一重装就能解决了吧

CR4SH那种EFI BOOT劫持的可以解决。CosmicStrand那种是UEFI BIOS使用传统MBR启动的，也可以改成EFI启动解决。类似联想后门那种直接在UEFI BIOS里下后门的，只能刷BIOS解决。

ANY.LNK

另外，卡巴斯基是不打算放出样本了是么，对应的哈希只能在他们官方网站和转载他们文章的网站上找到

UBitch

wowocock 发表于 2022-7-26 15:51
CR4SH那种EFI BOOT劫持的可以解决。CosmicStrand那种是UEFI BIOS使用传统MBR启动的，也可以改成EFI启动解 ...

我觉得微软搞那个WPBT纯粹是脱裤子放屁，还增加了攻击面
华硕之前也做过基于WPBT的一些东西 不过在BIOS里能关，OEM厂商的能不能关就完全看厂商了