PTT推薦

[情報] 卡巴在技嘉&華碩主板UEFI韌體發現惡意程式

DsLove710 發表於 2022/7/29 上午8:23:02
看板PC_Shopping標題[情報] 卡巴在技嘉&華碩主板UEFI韌體發現惡意程式作者
DsLove710
 (DoraApen)時間推噓32 推:36 噓:4 →:25

卡巴斯基在技嘉與華碩主機板的UEFI韌體上,發現謎樣的惡意程式CosmicStrand

ithome

資安業者卡巴斯基(Kaspersky)本周指出,他們在技嘉(Gigabyte)與華碩(ASUS)主機板上的統一可延伸韌體介面(Unified Extensible Firmware Interface,UEFI)發現了一個Rootkit惡意程式CosmicStrand,相信CosmicStrand源自於講中文的駭客,且從大家還沒開始討論UEFI惡意程式的2016年就問世,直至現在,CosmicStrand仍是一個謎團。

UEFI是一個介於平臺韌體與作業系統之間的軟體介面,它負責啟動裝置,再將控制權交給載入作業系統的軟體,通常存放在主機板的快閃記憶體中。因此,若UEFI被植入惡意程式,除了難以偵測之外,就算是重灌作業系統,甚至換掉硬碟,都無法移除它。

不過,要在UEFI上植入惡意程式並非易事,駭客必須實際存取裝置,或是藉由精細的手法自遠端感染,這些都需要付出龐大的心力才能實現,因此,UEFI惡意程式最常出現在目標攻擊中。

卡巴斯基發現的是CosmicStrand的變種,其主要功能是在系統啟動時下載惡意程式,進而執行駭客所指定的任務,當它成功通過了啟動的所有階段之後,便會執行一個Shellcode,連結駭客伺服器,再接收惡意酬載。研究人員在受害電腦上現一個疑似與CosmicStrand有關的惡意程式,該惡意程式會在作業系統上建立一個具備管理員權限的新帳號aaaabbbb(下圖),而此一發現與奇虎360團隊(Qihoo360)在2017年的揭露一致。

更有趣的是,這些遭到CosmicStrand感染的使用者,都是一些名不見經傳的小人物,也未隸屬於任何重要的組織,亦僅使用免費版的卡巴斯基防毒軟體。受害者主要分布於中國、越南、伊朗與俄羅斯。

迄今卡巴斯基研究人員無從了解CosmicStrand究竟是如何入侵主機板上的UEFI韌體的,僅知所有受到感染的都是技嘉與華碩主機板,它們的共通點是使用英特爾的H81晶片組,由於目前所觀察到的受害者都是尋常百姓,讓研究人員猜測或許是某個元件含有可自遠端於UEFI植入惡意程式的安全漏洞。

不僅是感染途徑撲朔,研究人員也無法確定CosmicStrand的實際感染數量或是C&C伺服器數量,研究人員更好奇的是,倘若駭客在2016年就知道利用UEFI惡意程式,那麼這群駭客現在使用的是什麼?

由於CosmicStrand有許多程式碼模式都與中國駭客所打造的挖礦程式MyKings類似,使得卡巴斯基認為CosmicStrand應是由中文駭客所打造,或至少利用了中文的共享資源。

https://www.ithome.com.tw/news/152146

受害者雖皆為尋常百姓

但內心突然有個陰謀論

該不會這些百姓都是隸屬於某個秘密組織XD

--

※ PTT留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.175.169.182 (臺灣)
PTT 網址

eva00ave07/29 08:25h81 感染到那種不升級的機構比較危吧

Xpwa563704ju07/29 08:36韌體居然也能被感染,怎麼搞得

luuuking07/29 08:38版廠看到h81:不修了,建議更換新電腦

tn60137407/29 08:57原來是h81啊,沒事就好xd

justice200807/29 09:03怕 還好不是G41 我還有兩張

DellSale99907/29 09:17還好我沒錢 只能用Z69系列貧民晶片

brandx07/29 09:18b85澀澀花抖

guanluvsquat07/29 09:59笑死 昨天才修到一部H81

hbj194107/29 10:03h81喔,我去回收廠找找

tetani07/29 10:08可能是挖礦的主機板

doomerptt07/29 10:18可能是mb賣給你時 店家偷偷燒進去的?

acebruce07/29 10:21在到貨時開箱偷燒比較可能

geesegeese07/29 10:22卡巴?呵呵

keineAhnung07/29 10:35卡巴

mscp07/29 11:08家中各一B85/H87瑟瑟發抖ing

kisia07/29 11:12B85M-G當年的護板神板

Wilson31007/29 11:16我也看到一個惡意程式

Wilson31007/29 11:16會隨意發動戰爭

Wilson31007/29 11:16卡巴你有頭緒嗎?

fish1024107/29 11:34還好我還在B75,沒事兒

kaj198307/29 11:35一般人還在用這麼舊的東西也不會有什麼重要資料可以偷啦

shinobunodok07/29 11:56卡巴?

Medic07/29 12:09因為是安裝卡巴才發現的吧? 所以沒裝卡巴但bios有問題的

wison445107/29 12:09還好只有用過H55 (?

Medic07/29 12:09用戶數量應該也是很龐大

liusean07/29 12:21H81…嗯

SONYPS507/29 12:31會得猴痘嗎?XD

sorrojvr07/29 12:39還好不是P55 我主力機沒事

sorrojvr07/29 12:40另一台965晶片應該也沒事

newforte07/29 12:47還好我都用dos

s3221407/29 12:57卡?

Wishmaster07/29 13:00現在最夯的是啥? 以前不是都推崇卡巴小紅傘? XDDDD

meicon556607/29 13:02內建派吧 三不五時就出來嘴2022還有人用防毒

justice200807/29 13:07卡巴現在台灣官網就沒免費的 免費仔當然不推

oppoR2007/29 13:08B85/H81的主機目前應該還是蠻多公家機關和學校在用喔XD

oppoR2007/29 13:08我們實驗室就一台

leon1979060207/29 13:08其實你去防毒版看根本被卡巴洗版,都可以改名卡巴合

leon1979060207/29 13:08購版惹

leon1979060207/29 13:10https://i.imgur.com/9w1XZ3v.jpg

圖https://i.imgur.com/9w1XZ3v.jpg?e=1667544520&s=J-9N0ZV195eiWkKd8AZo6g, 卡巴在技嘉&華碩主板UEFI韌體發現惡意程式

kisia07/29 13:11因為卡巴好用 自然就會這樣 不管免費付費都是

kimula0107/29 13:17來了 俄國人開始洩弄小習的後門了

AerobladeIII07/29 13:19鵝國軟體pa55。我用芬安全

doomsday072807/29 13:22俄羅斯防毒?呵呵

ccbbaa07/29 13:26很多品牌套裝電腦都用這類文書主機板吧

kaj198307/29 13:31去google了一下卡巴有免費的啊,只是中文版沒更新到吧

kaj198307/29 13:32用習慣了就不想換了+1 政治問題我不在意

wonder00707/29 13:37中國、越南、伊朗與俄羅斯 嗯嗯 真剛好

ppt1252707/29 13:39這些尋常百姓會不會是修卡秘密組織潛伏成員

doomerptt07/29 14:26這些國家 不就獨裁專制的嗎? 會監視你 正常吧?

doomerptt07/29 14:27搞不好這種是國家機器?

harryzx007/29 14:30韌體也會中毒?

air842607/29 15:28俄羅斯公司 布丁的英毛喔

kevin122107/29 15:40還好有卡巴

kqalea07/29 15:42DDOS的殭屍也是要養阿

quicknick07/29 16:38有點像早期的CIH病毒

suifong07/29 17:33PTT防毒版都推薦來自俄國的卡巴斯基,有甚麼不好嗎?

sdbb07/29 18:46CIH不是躲在機器韌體裡,是破壞機器韌體

justice200807/29 19:11我敢保證 目前台灣網站沒有免費板 但我也不否認

justice200807/29 19:11有人抓的到

kimula0107/29 20:12有免費版啊 讓你用30天而已

canandmap07/29 22:41到底有沒有免費版?我都不知道是反串還是認真了

pcfox07/29 23:33卡巴哈哈 幫布丁撈私房錢打鄰居蒸蚌

JKGOOD07/30 23:332022開始卡巴免費版不提供中文

JKGOOD07/30 23:33所以是英文免費版,但沒鎖區

xSAUCEx07/31 01:23結論主機板選MSI就可以了

同系列文章
Re: [情報] 卡巴在技嘉&華碩主板UEFI韌體發現惡意程式
其他人也閱讀了
PTT 熱門相關
PC_Shopping最新熱門推薦
🔥🔥🔥