圖片來源: 

freestocks on unsplash

資安業者卡巴斯基(Kaspersky)本周指出,他們在技嘉(Gigabyte)與華碩(ASUS)主機板上的統一可延伸韌體介面(Unified Extensible Firmware Interface,UEFI)發現了一個Rootkit惡意程式CosmicStrand,相信CosmicStrand源自於講中文的駭客,且從大家還沒開始討論UEFI惡意程式的2016年就問世,直至現在,CosmicStrand仍是一個謎團。

UEFI是一個介於平臺韌體與作業系統之間的軟體介面,它負責啟動裝置,再將控制權交給載入作業系統的軟體,通常存放在主機板的快閃記憶體中。因此,若UEFI被植入惡意程式,除了難以偵測之外,就算是重灌作業系統,甚至換掉硬碟,都無法移除它。

不過,要在UEFI上植入惡意程式並非易事,駭客必須實際存取裝置,或是藉由精細的手法自遠端感染,這些都需要付出龐大的心力才能實現,因此,UEFI惡意程式最常出現在目標攻擊中。

卡巴斯基發現的是CosmicStrand的變種,其主要功能是在系統啟動時下載惡意程式,進而執行駭客所指定的任務,當它成功通過了啟動的所有階段之後,便會執行一個Shellcode,連結駭客伺服器,再接收惡意酬載。研究人員在受害電腦上現一個疑似與CosmicStrand有關的惡意程式,該惡意程式會在作業系統上建立一個具備管理員權限的新帳號aaaabbbb(下圖),而此一發現與奇虎360團隊(Qihoo360)在2017年的揭露一致。

圖片來源/卡巴斯基

更有趣的是,這些遭到CosmicStrand感染的使用者,都是一些名不見經傳的小人物,也未隸屬於任何重要的組織,亦僅使用免費版的卡巴斯基防毒軟體。受害者主要分布於中國、越南、伊朗與俄羅斯。

迄今卡巴斯基研究人員無從了解CosmicStrand究竟是如何入侵主機板上的UEFI韌體的,僅知所有受到感染的都是技嘉與華碩主機板,它們的共通點是使用英特爾的H81晶片組,由於目前所觀察到的受害者都是尋常百姓,讓研究人員猜測或許是某個元件含有可自遠端於UEFI植入惡意程式的安全漏洞。

不僅是感染途徑撲朔,研究人員也無法確定CosmicStrand的實際感染數量或是C&C伺服器數量,研究人員更好奇的是,倘若駭客在2016年就知道利用UEFI惡意程式,那麼這群駭客現在使用的是什麼?

由於CosmicStrand有許多程式碼模式都與中國駭客所打造的挖礦程式MyKings類似,使得卡巴斯基認為CosmicStrand應是由中文駭客所打造,或至少利用了中文的共享資源。

8月2日更新資訊

華碩在8月2日上午表示,經過他們的調查,這起事件是主機板的BIOS燒錄器遭到不明外力竄改,或是在更換ROM元件時被植入此惡意軟體,主要影響購買二手主機板的使用者,將有機會取得內含惡意軟體的產品,因此這起事件並非駭客透過主機板UEFI BIOS的漏洞攻擊造成。文⊙iThome電腦報資安主編羅正漢

熱門新聞

Advertisement