ASUS & Gigabyte Motherboards mit Intel-Chipsätzen, die für CosmicStrand “ UEFI Firmware Rootkit ” Malware anfällig sind

Eine neue Malware namens CosmicStrand wurde von entdeckt Kaspersky Dies betrifft ASUS & Gigabyte Mainboards mit Intel-Chipsätzen.

CosmicStrand “UEFI Firmware Rootkit” Malware beeinflusst die Mainboard von ASUS & Gigabyte Mit Intel-Chipsätzen kann die Opfermaschine vollständig zum Absturz gebracht werden

Der Bericht besagt, dass CosmicStrand eine Art UEFI Firmware Rootkit ist, eine Art Malware, die sich in die tiefsten Ecken des Betriebssystems implantiert, es ist sehr schwer, sie zu erkennen, und da dies ein Rootkit ist, sprechen wir darüber, Dadurch wird sichergestellt, dass der betroffene Computer auch dann im infizierten Zustand bleibt, wenn das Betriebssystem neu installiert wird oder der Benutzer die Festplatte vollständig ersetzt. Eine frühe Variante der CosmicStrand-Malware stammt aus dem Jahr 2017 entdeckt von einem chinesischen Autor, aber die neue Version lässt den PC anfälliger werden.

CosmicStrand "UEFI Firmware Rootkit" Malware beeinflusst die Motherboards von ASUS & Gigabyte Mit Intel-Chipsätzen kann die Opfermaschine vollständig zum Absturz gebracht werden

Dem Bericht zufolge betrifft die CosmicStrand-Malware hauptsächlich ASUS & Gigabyte-Motherboards, die auf dem Intel H81-Chipsatz basieren. Das Rootkit hängt sich an die Firmware-Bilder von Motherboards des Unternehmens an, was darauf hinweist, dass möglicherweise eine häufige Sicherheitsanfälligkeit besteht, mit der Angreifer Rootkit in die Firmware-Bilder einbringen können.

UEFI-Malware-Autoren stehen vor einer einzigartigen technischen Herausforderung: Ihr Implantat läuft so früh im Boot-Prozess, dass das Betriebssystem ( in diesem Fall Windows ) noch nicht einmal in den Speicher geladen ist – und zu dem Zeitpunkt, zu dem es ist, Der UEFI-Ausführungskontext wurde beendet. Die Hauptaufgabe des Rootkits ist es, einen Weg zu finden, um böswilligen Code in den verschiedenen Startphasen weiterzugeben.

Der Workflow besteht darin, nacheinander Hooks [ 1 ] einzustellen, sodass der Schadcode bis zum Start des Betriebssystems beibehalten werden kann. Die Schritte sind:

Die anfänglich infizierte Firmware rappt die gesamte Kette.

Die Malware richtet einen böswilligen Hook im Boot-Manager ein, mit dem der Windows ’ -Kernel-Loader geändert werden kann, bevor er ausgeführt wird.

Durch Manipulationen am Betriebssystemlader können die Angreifer einen weiteren Hook in einer Funktion des Windows-Kernels einrichten.

Wenn diese Funktion später während des normalen Startvorgangs des Betriebssystems aufgerufen wird, übernimmt die Malware ein letztes Mal die Kontrolle über den Ausführungsfluss.

Es setzt einen Shellcode im Speicher ein und kontaktiert den C2-Server, um die tatsächliche böswillige Nutzlast abzurufen, die auf dem Computer des Opfers ausgeführt werden soll.

32 bit myking

Es wird gesagt, dass Opfer in mehreren Regionen identifiziert wurden, darunter China, Vietnam, Iran und Russland. PCs in diesen Regionen sind von CosmicStrand betroffen und scheinen Privatpersonen zu sein. Es wird angenommen, dass die CosmicStrand-Malware von einem chinesischsprachigen Bedrohungsschauspieler entwickelt wurde “durch die Nutzung gemeinsamer Ressourcen, die unter den chinesischsprachigen Bedrohungsakteuren geteilt werden.”

Schlussfolgerungen

CosmicStrand ist ein hoch entwickeltes UEFI-Firmware-Rootkit, mit dem die Eigentümer eine sehr langlebige Persistenz erreichen können: die gesamte Lebensdauer des Computers und gleichzeitig äußerst verstohlen. Es scheint seit mehreren Jahren in Betrieb zu sein, und dennoch bleiben viele Rätsel bestehen. Wie viele weitere Implantate und C2-Server könnten uns noch entgehen? Welche Nutzlasten der letzten Stufe werden an die Opfer geliefert? Ist es aber auch wirklich möglich, dass CosmicStrand einige seiner Opfer durch erreicht hat Paket “ Interdiction ”? In jedem Fall beweisen die bisher entdeckten mehreren Rootkits einen blinden Fleck in unserer Branche, der eher früher als später angegangen werden muss.

Der auffälligste Aspekt dieses Berichts ist, dass dieses UEFI-Implantat seit Ende 2016 in freier Wildbahn eingesetzt zu sein scheint –, lange bevor UEFI-Angriffe öffentlich beschrieben wurden. Diese Entdeckung wirft eine letzte Frage auf: Wenn dies das ist, was die Angreifer damals verwendeten, was verwenden sie dann heute?

Bisher scheint es keine Problemumgehung für die CosmicStrand-Sicherheitsanfälligkeit zu geben, und es ist ratsam, kein älteres Gigabyte- und ASUS-Motherboard auf der Basis eines älteren Intel H81-Chipsatzes zu erhalten. Dies sagt uns jedoch, dass es möglicherweise noch mehr Varianten von BIOS-Firmware-bezogenen Schwachstellen gibt, wenn man bedenkt, dass CosmicStrand seit einigen Jahren in freier Wildbahn ist.

Leave a Comment