卡巴斯基在技嘉與華碩主機板的UEFI韌體上，發現謎樣的惡意程式CosmicStrand ithome 資安業者卡巴斯基（Kaspersky）本周指出，他們在技嘉（Gigabyte）與華碩（ASUS）主 機板上的統一可延伸韌體介面（Unified Extensible Firmware Interface，UEFI）發現 了一個Rootkit惡意程式CosmicStrand，相信CosmicStrand源自於講中文的駭客，且從大 家還沒開始討論UEFI惡意程式的2016年就問世，直至現在，CosmicStrand仍是一個謎團。 UEFI是一個介於平臺韌體與作業系統之間的軟體介面，它負責啟動裝置，再將控制權交給 載入作業系統的軟體，通常存放在主機板的快閃記憶體中。因此，若UEFI被植入惡意程式 ，除了難以偵測之外，就算是重灌作業系統，甚至換掉硬碟，都無法移除它。 不過，要在UEFI上植入惡意程式並非易事，駭客必須實際存取裝置，或是藉由精細的手法 自遠端感染，這些都需要付出龐大的心力才能實現，因此，UEFI惡意程式最常出現在目標 攻擊中。 卡巴斯基發現的是CosmicStrand的變種，其主要功能是在系統啟動時下載惡意程式，進而 執行駭客所指定的任務，當它成功通過了啟動的所有階段之後，便會執行一個Shellcode ，連結駭客伺服器，再接收惡意酬載。研究人員在受害電腦上現一個疑似與CosmicStrand 有關的惡意程式，該惡意程式會在作業系統上建立一個具備管理員權限的新帳號aaaabbbb （下圖），而此一發現與奇虎360團隊（Qihoo360）在2017年的揭露一致。 更有趣的是，這些遭到CosmicStrand感染的使用者，都是一些名不見經傳的小人物，也未 隸屬於任何重要的組織，亦僅使用免費版的卡巴斯基防毒軟體。受害者主要分布於中國、 越南、伊朗與俄羅斯。 迄今卡巴斯基研究人員無從了解CosmicStrand究竟是如何入侵主機板上的UEFI韌體的，僅 知所有受到感染的都是技嘉與華碩主機板，它們的共通點是使用英特爾的H81晶片組，由 於目前所觀察到的受害者都是尋常百姓，讓研究人員猜測或許是某個元件含有可自遠端於 UEFI植入惡意程式的安全漏洞。 不僅是感染途徑撲朔，研究人員也無法確定CosmicStrand的實際感染數量或是C&C伺服器 數量，研究人員更好奇的是，倘若駭客在2016年就知道利用UEFI惡意程式，那麼這群駭客 現在使用的是什麼？ 由於CosmicStrand有許多程式碼模式都與中國駭客所打造的挖礦程式MyKings類似，使得 卡巴斯基認為CosmicStrand應是由中文駭客所打造，或至少利用了中文的共享資源。 https://www.ithome.com.tw/news/152146 受害者雖皆為尋常百姓 但內心突然有個陰謀論 該不會這些百姓都是隸屬於某個秘密組織XD -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.175.169.182 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1659054184.A.E96.html