卡巴斯基发现UEFI恶意程序CosmicStrand 华硕和技嘉主板受影响

ICzcz

反病毒厂商卡巴斯基的一支安全威胁研究团队近日发现了名为“CosmicStrand”的恶意程序。事实上，这款恶意程序并不是新病毒，而且曾在 2016-2017 年爆发“Spy Shadow”木马的更早版本。目前在华硕和技嘉的固件中发现了这款 UEFI 恶意程序，即使重新安装 Windows 系统也无法移除这款 UEFI 恶意程序。

卡巴斯基表示现阶段只有 Windows 系统受到攻击：“现阶段发现的所有攻击设备都运行 Windows 系统：每次电脑重启，在 Windows 重启之后将会执行一段恶意代码。该代码的目的是连接到 C2（命令和控制）服务器，并下载额外可执行的恶意程序”。

卡巴斯基在深度剖析 Securelist 文章中，对该恶意程序的运行机制进行了详细的描述：

工作流程包括连续设置钩子，使恶意代码持续到OS启动后。涉及的步骤是：

1. 整个链条的起始是感染固件引导

2. 该恶意软件在启动管理器中设置了恶意钩，允许在执行Windows的内核加载程序之前修改它。

3. 通过篡改OS加载器，攻击者可以在Windows内核的功能中设置另一个钩子。

4. 当后来在OS的正常启动过程中调用该功能时，恶意软件最后一次控制执行流程。

5. 它在内存中部署了一个壳牌码，并与C2服务器联系以检索实际的恶意有效载荷以在受害者的机器上运行。

雪拥蓝关

恐怖，恶意程序真是无孔不入，防不胜防。

fzp070

我昨天也看到一个旧闻，7月13号的，【新的UEFI固件缺陷影响了70多种联想笔记本电脑型号】
https://www.bleepingcomputer.com/news/security/new-uefi-firmware-flaws-impact-over-70-lenovo-laptop-models/
感觉UEFI也不是很安全了。不过好在这些都是国外的。搜了下论坛好像没发过。


联想笔记本 BIOS 漏洞--影响的笔记本电脑型号
https://support.lenovo.com/sk/en/product_security/len-91369#Lenovo%20Notebook

cnseatech

固件有木马或者病毒，你操作系统安装1万遍也没有用的

muxi0416

cnseatech 发表于 2022-7-27 14:38
固件有木马或者病毒，你操作系统安装1万遍也没有用的

现阶段只有Windows系统受影响，所以速速换到linux

christina7358

这个只针对UEFI，MBR应该无效吧？

xiantingxinbu

我的正版win11家庭版（戴尔预装）还是暂时不升级好！