当前位置:首页 > 系统1 > 网络安全
网络安全

卡巴斯基发现UEFI恶意程序CosmicStrand 华硕和技嘉主板受影响

时间:2022-10-30 23:56:26   作者:缘北   来源:缘北网络科技52ybkj.com   阅读:393   评论:0
内容摘要:反病毒厂商卡巴斯基的一支安全威胁研究团队近日发现了名为“CosmicStrand”的恶意程序。事实上,这款恶意程序并不是新病毒,而且曾在2016-2017年爆发“SpyShadow”木马的更早版本。目前在华硕和技嘉的固件中发现了这款UEFI恶意程序,即使重新安装Windows系统也无法移除这款UEFI恶意程序。卡巴斯基...

反病毒厂商卡巴斯基的一支安全威胁研究团队近日发现了名为“CosmicStrand”的恶意程序。事实上,这款恶意程序并不是新病毒,而且曾在 2016-2017 年爆发“Spy Shadow”木马的更早版本。目前在华硕和技嘉的固件中发现了这款 UEFI 恶意程序,即使重新安装 Windows 系统也无法移除这款 UEFI 恶意程序。

卡巴斯基发现UEFI恶意程序CosmicStrand_华硕和技嘉主板受影响 图1

卡巴斯基表示现阶段只有 Windows 系统受到攻击:“现阶段发现的所有攻击设备都运行 Windows 系统:每次电脑重启,在 Windows 重启之后将会执行一段恶意代码。该代码的目的是连接到 C2(命令和控制)服务器,并下载额外可执行的恶意程序”。

卡巴斯基在深度剖析 Securelist 文章中,对该恶意程序的运行机制进行了详细的描述:

工作流程包括连续设置钩子,使恶意代码持续到OS启动后。涉及的步骤是:

1. 整个链条的起始是感染固件引导

2. 该恶意软件在启动管理器中设置了恶意钩,允许在执行Windows的内核加载程序之前修改它。

3. 通过篡改OS加载器,攻击者可以在Windows内核的功能中设置另一个钩子。

4. 当后来在OS的正常启动过程中调用该功能时,恶意软件最后一次控制执行流程。

5. 它在内存中部署了一个壳牌码,并与C2服务器联系以检索实际的恶意有效载荷以在受害者的机器上运行。

fwry7l6h.webp

卡巴斯基发现UEFI恶意程序CosmicStrand_华硕和技嘉主板受影响 图2

责任编辑:未丽燕来源: cnBeta.COM

 #免责声明#

本站资源均从互联网上收集,仅供学习和交流使用;请遵循相关法律法规;
本站一切资源不代表本站立场,如有侵权、后门、不妥,请联系删除,敬请谅解!

本站所有文章,软件,源码,来源 互联网的搬运收集,只提供学习教程,请勿非法使用,后果自负!

不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络收集整理,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。敬请谅解!

侵权删帖投诉投稿联系邮箱



标签:发现  恶意  影响  程序  主板  
相关评论
介绍 - 咨询联系 - 侵权处理 - 版权声明

本站资源来自互联网收集 仅供用于学习和交流 请遵循相关法律法规  立即咨询微信sinian990202  立即咨询

富强、民主、文明、和谐,自由、平等、公正、法治, 爱国、敬业、诚信、友善

粤公安备案44011302003351统一社会信用代码:92460000MAA921J082   琼ICP备2021009498号-1

声明: 所有软件和文章来自互联网 如有异议 请与本站联系 本站为非赢利性网站 不接受任何赞助和广告