查看: 2541|回复: 6
收起左侧

[安全行业] 卡巴斯基发现UEFI恶意程序CosmicStrand 华硕和技嘉主板受影响

[复制链接]
ICzcz
发表于 2022-7-27 09:41:52 | 显示全部楼层 |阅读模式
反病毒厂商卡巴斯基的一支安全威胁研究团队近日发现了名为“CosmicStrand”的恶意程序。事实上,这款恶意程序并不是新病毒,而且曾在 2016-2017 年爆发“Spy Shadow”木马的更早版本。目前在华硕和技嘉的固件中发现了这款 UEFI 恶意程序,即使重新安装 Windows 系统也无法移除这款 UEFI 恶意程序。

DM_20220727094101_001.jpg

卡巴斯基表示现阶段只有 Windows 系统受到攻击:“现阶段发现的所有攻击设备都运行 Windows 系统:每次电脑重启,在 Windows 重启之后将会执行一段恶意代码。该代码的目的是连接到 C2(命令和控制)服务器,并下载额外可执行的恶意程序”。

卡巴斯基在深度剖析 Securelist 文章中,对该恶意程序的运行机制进行了详细的描述:

工作流程包括连续设置钩子,使恶意代码持续到OS启动后。涉及的步骤是:
1. 整个链条的起始是感染固件引导
2. 该恶意软件在启动管理器中设置了恶意钩,允许在执行Windows的内核加载程序之前修改它。
3. 通过篡改OS加载器,攻击者可以在Windows内核的功能中设置另一个钩子。
4. 当后来在OS的正常启动过程中调用该功能时,恶意软件最后一次控制执行流程。
5. 它在内存中部署了一个壳牌码,并与C2服务器联系以检索实际的恶意有效载荷以在受害者的机器上运行。
DM_20220727094101_002.jpg

DM_20220727094101_003.jpg



雪拥蓝关
发表于 2022-7-27 10:59:39 | 显示全部楼层
恐怖,恶意程序真是无孔不入,防不胜防。
fzp070
发表于 2022-7-27 12:47:47 | 显示全部楼层
我昨天也看到一个旧闻,7月13号的,【新的UEFI固件缺陷影响了70多种联想笔记本电脑型号】
https://www.bleepingcomputer.com/news/security/new-uefi-firmware-flaws-impact-over-70-lenovo-laptop-models/
感觉UEFI也不是很安全了。不过好在这些都是国外的。搜了下论坛好像没发过。

UEFI固件缺陷.png
联想笔记本 BIOS 漏洞--影响的笔记本电脑型号
https://support.lenovo.com/sk/en/product_security/len-91369#Lenovo%20Notebook
联想笔记本 BIOS 漏洞.png
cnseatech
发表于 2022-7-27 14:38:39 | 显示全部楼层
固件有木马或者病毒,你操作系统安装1万遍也没有用的
muxi0416
发表于 2022-7-27 15:31:15 来自手机 | 显示全部楼层
cnseatech 发表于 2022-7-27 14:38
固件有木马或者病毒,你操作系统安装1万遍也没有用的

现阶段只有Windows系统受影响,所以速速换到linux
christina7358
发表于 2022-7-28 18:35:03 | 显示全部楼层
这个只针对UEFI,MBR应该无效吧?
xiantingxinbu
发表于 2022-8-8 22:11:52 | 显示全部楼层
我的正版win11家庭版(戴尔预装)还是暂时不升级好!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 22:43 , Processed in 0.130338 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表