反病毒廠商卡巴斯基的一支安全威脅研究團隊近日發現了名為“CosmicStrand”的惡意程序。事實上,這款惡意程序並不是新病毒,而且曾在
2016-2017 年爆發“Spy Shadow”木馬的更早版本。目前在華碩和技嘉的固件中發現了這款 UEFI 惡意程序,即使重新安裝
Windows 系統也無法移除這款 UEFI 惡意程序。
卡巴斯基表示現階段只有 Windows 系統受到攻擊:“現階段發現的所有攻擊設備都運行 Windows 系統:每次電腦重啟,在 Windows 重啟之後將會執行一段惡意代碼。該代碼的目的是連接到 C2(命令和控制)服務器,並下載額外可執行的惡意程序”。
卡巴斯基在深度剖析 Securelist 文章中,對該惡意程序的運行機制進行了詳細的描述:
工作流程包括連續設置鉤子,使惡意代碼持續到OS啟動后。涉及的步驟是:
1. 整個鏈條的起始是感染固件引導
2. 該惡意軟件在啟動管理器中設置了惡意鉤,允許在執行Windows的內核加載程序之前修改它。
3. 通過篡改OS加載器,攻擊者可以在Windows內核的功能中設置另一個鉤子。
4. 當後來在OS的正常啟動過程中調用該功能時,惡意軟件最後一次控制執行流程。
5. 它在內存中部署了一個殼牌碼,並與C2服務器聯繫以檢索實際的惡意有效載荷以在受害者的機器上運行。
