至少从 2016 年开始,讲中文的黑客就一直在使用恶意软件,这种恶意软件在某些主板的固件映像中几乎未被检测到,这是最持久的威胁之一,通常被称为 UEFI rootkit。

网络安全公司卡巴斯基的研究人员将其称为 CosmicStrand,但奇虎 360 的恶意软件分析师发现了该威胁的早期变体,并将其命名为 Spy Shadow Trojan。

目前尚不清楚攻击者如何设法将 rootkit 注入目标机器的固件映像,但研究人员在配备华硕和技嘉主板的机器上发现了该恶意软件。

Windows-keyboard.webp

神秘的 UEFI rootkit

统一可扩展固件接口 (UEFI) 软件将计算机操作系统与底层硬件的固件连接起来。

UEFI 代码是在计算机启动过程中首先运行的,在操作系统和可用的安全解决方案之前。

UEFI 固件映像中植入的恶意软件不仅难以识别,而且非常持久,因为无法通过重新安装操作系统或更换存储驱动器来将其删除。

卡巴斯基今天的一份报告提供了有关 CosmicStrand 的技术细节,从受感染的 UEFI 组件到在每次启动时将内核级植入物部署到 Windows 系统中。

整个过程包括设置挂钩以修改操作系统加载程序并控制整个执行流程以启动从命令和控制服务器获取有效负载的 shellcode。

CosmicStrands 执行链

CosmicStrand UEFI 恶意软件执行

前卡巴斯基逆向工程师、现就职于 Mandiant 的 Mark Lechtik 解释说,受感染的固件映像带有经过修改的 CSMCORE DXE 驱动程序,该驱动程序支持传统的启动过程。

“这个驱动程序被修改以拦截启动序列并向其引入恶意逻辑,” Lechtik在周一的一条推文中指出。

虽然卡巴斯基发现的 CosmicStrand 变种是较新的,但奇虎 360 的研究人员在 2017 年披露了有关该恶意软件早期版本的第一个细节。

在一名受害者报告说他们的计算机突然创建了一个新帐户并且防病毒软件不断提醒恶意软件感染后,中国研究人员开始分析植入物。

根据他们的报告,受感染的系统在所有者从在线商店购买的二手华硕主板上运行。

卡巴斯基能够确定 CosmicStrand UEFI rootkit 存在于采用 H81 芯片组的通用设计的技嘉或华硕主板的固件映像中。

这是指 2013 年至 2015 年之间的旧硬件,今天大部分已停产。

目前尚不清楚植入物是如何放置在受感染的计算机上的,因为该过程将涉及对设备的物理访问或通过能够自动修补固件映像的前驱恶意软件。

卡巴斯基确定的受害者也几乎没有提供有关威胁行为者及其目标的线索,因为已确定的受感染系统属于中国、伊朗、越南和俄罗斯的个人,无法与组织或行业相关联。

CosmicStrand 受害者的地理分布

全球 CosmicStrands 受害者

然而,研究人员根据在MyKings加密货币挖矿僵尸网络中也看到的代码模式将 CosmicStrand 与一名说中文的演员联系起来,Sophos 的恶意软件分析师在该网络中发现了中文工件。

卡巴斯基表示,CosmicStrand UEFI 固件 rootkit 可以在计算机的整个生命周期内持续存在于系统中,并且自 2016 年底以来已在操作中使用多年。

UEFI 恶意软件变得越来越普遍

第一份关于在野外发现的 UEFI rootkit LoJax 的广泛报告来自 ESET 于 2018 年,它被用于 APT28 组织(又名 Sednit、Fancy Bear、Sofacy)的俄罗斯黑客的攻击。

差不多四年后,UEFI 恶意软件在野外的攻击变得更加频繁,不仅仅是高级黑客在探索这个选项:

我们在 2020 年从卡巴斯基了解到MosaicRegressor,尽管它在 2019 年被用于针对非政府组织的攻击。

2020 年底,有消息称 TrickBot 开发人员创建了TrickBoot,这是一个新模块,用于检查受感染机器是否存在 UEFI 漏洞。

另一个 UEFI rootkit 于 2021 年底被披露,由 Gamma Group 开发,作为其 FinFisher 监控解决方案的一部分。

同年,ESET 公布了有关另一个名为 ESPecter 的 bootkit 的详细信息,据信主要用于间谍活动,其起源可追溯至 2012 年。

MoonBounce被认为是最复杂的 UEFI 固件植入程序之一,今年 1 月被披露为被中文黑客组织(也称为 APT41)Winnti 使用。

Tags: none

我有个想法