CosmicStrand Malware Tìm thấy trong Bo mạch chủ ASUS, Gigabyte

Dịch vụ khác

Cài win online từ xa

Cài Win online

[ad_1]

Các nhà nghiên cứu bảo mật tại nhà sản xuất phần mềm chống vi-rút Kaspersky đã phát hiện ra một bộ phần mềm gốc UEFI mới có tên “CosmicStrand” đã lây nhiễm vào các hệ thống có bo mạch chủ Asus và Gigabyte.

Đối với phần mềm không đảo ngược, firmware UEFI (Unified Extensible Firmware Interface) có nhiệm vụ khởi động máy tính Windows, bao gồm cả quá trình tải hệ điều hành, ngay cả trước bất kỳ biện pháp bảo mật nào của hệ thống.

Do đó, phần mềm độc hại đã được đặt trong hình ảnh phần sụn UEFI đặc biệt khó phát hiện nên rất khó để loại bỏ nó bằng cách thực hiện cài đặt lại hệ điều hành sạch hoặc thậm chí bằng cách thay thế ổ đĩa lưu trữ.

Mặc dù ban đầu các nhà nghiên cứu không thể xác định cách thức mà các máy nạn nhân bị lây nhiễm, nhưng việc phân tích phần cứng của họ đã cho phép các chuyên gia phát hiện ra những thiết bị nào có thể bị lây nhiễm bởi CosmicStrand.

Họ tìm thấy bộ rootkit nằm trong hình ảnh phần sụn của các bo mạch chủ ASUS và Gigabyte cũ hơn, được liên kết với phần cứng sử dụng chipset H81 được bán từ năm 2013 đến năm 2015. Điều này cho thấy một lỗ hổng phổ biến có thể tồn tại cho phép những kẻ tấn công đưa bộ rootkit của họ vào phần sụn. hình ảnh.

“Trong những hình ảnh phần sụn này, các sửa đổi đã được đưa vào trình điều khiển CSMCORE DXE, điểm nhập của nó đã được vá để chuyển hướng đến mã được thêm trong phần .reloc. Đoạn mã này, được thực thi trong quá trình khởi động hệ thống, kích hoạt một chuỗi thực thi dài dẫn đến việc tải xuống và triển khai một thành phần độc hại bên trong Windows, ”phân tích được công bố bởi các chuyên gia.

“Nhìn vào các hình ảnh phần sụn khác nhau mà chúng tôi có thể thu được, chúng tôi đánh giá rằng các sửa đổi có thể đã được thực hiện bằng một trình vá lỗi tự động. Nếu vậy, theo đó những kẻ tấn công đã có quyền truy cập trước vào máy tính của nạn nhân để trích xuất, sửa đổi và ghi đè phần sụn của bo mạch chủ. ”

Hãy xem bài viết chuyên sâu về Danh sách bảo mật của Kaspersky mô tả cách các tác nhân đe dọa phân phối tải trọng độc hại trong quá trình khởi động:

Quy trình làm việc bao gồm việc thiết lập các hook nối tiếp nhau, cho phép mã độc hại tồn tại cho đến khi hệ điều hành khởi động. Các bước liên quan là:

  • Phần sụn bị nhiễm ban đầu khởi động toàn bộ chuỗi.
  • Phần mềm độc hại thiết lập một hook độc hại trong trình quản lý khởi động, cho phép nó sửa đổi bộ tải nhân của Windows trước khi nó được thực thi.
  • Bằng cách giả mạo bộ tải hệ điều hành, những kẻ tấn công có thể thiết lập một hook khác trong một chức năng của nhân Windows.
  • Khi chức năng đó sau đó được gọi trong quy trình khởi động bình thường của HĐH, phần mềm độc hại sẽ kiểm soát luồng thực thi lần cuối.
  • Nó triển khai một mã shellcode trong bộ nhớ và liên hệ với máy chủ C2 để lấy tải trọng độc hại thực tế để chạy trên máy của nạn nhân.

Mặc dù Kaspersky không thể xác định rootkit đã kết thúc như thế nào trên các máy bị nhiễm bệnh ngay từ đầu, một số người dùng đã báo cáo rằng họ nhận được thiết bị bị xâm phạm sau khi đặt hàng tại một đại lý bán lẻ cũ.

Theo các nhà nghiên cứu, rootkit phần mềm UEFI được sử dụng chủ yếu để tấn công các cá nhân ở Trung Quốc, Việt Nam, Iran và Nga mà không có liên kết với bất kỳ tổ chức hoặc ngành dọc nào.

Hơn nữa, công ty chống vi-rút của Nga đã liên kết CosmicStrand với một diễn viên nói tiếng Trung Quốc dựa trên những điểm tương đồng đã thấy trong một mạng botnet trước đó có tên “MyKings” do các mẫu mã của họ.

“Khía cạnh nổi bật nhất của báo cáo này là việc cấy ghép UEFI này dường như đã được sử dụng trong tự nhiên từ cuối năm 2016 – rất lâu trước khi các cuộc tấn công UEFI bắt đầu được mô tả công khai. Khám phá này đặt ra một câu hỏi cuối cùng: nếu đây là thứ mà những kẻ tấn công đang sử dụng hồi đó, thì họ đang sử dụng cái gì hôm nay? ” đọc phân tích.

Trở lại năm 2017, một biến thể trước đó của phần mềm độc hại lần đầu tiên được phát hiện bởi công ty bảo mật Qihoo360 của Trung Quốc, người đã đặt tên cho nó Spy Shadow Trojan. Trong những năm gần đây, các nhà nghiên cứu đã tìm thấy các rootkit UEFI bổ sung như MosaicRegressor, FinSpy, ESpecter và MoonBounce.

[ad_2]

Dịch vụ sửa cài đặt phần mềm và Win online qua mạng

cài đặt phần mềm và Win online qua mạng Hà Nội

Chat Zalo
0903064855