[閒聊] 關於 卡巴斯基所發布的主機板BIOS病毒
卡巴斯基在技嘉與華碩主機板的UEFI韌體上,發現謎樣的惡意程式CosmicStrand
卡巴斯基發現CosmicStrand有許多程式碼模式,都與中國駭客打造的挖礦程式MyKings類
似,而且早在UEFI惡意程式尚未被討論的2016年就問世
文/陳曉莉 | 2022-07-27發表
圖片來源:
freestocks on unsplash
資安業者卡巴斯基(Kaspersky)本周指出,他們在技嘉(Gigabyte)與華碩(ASUS)主
機板上的統一可延伸韌體介面(Unified Extensible Firmware Interface,UEFI)發現
了一個Rootkit惡意程式CosmicStrand,相信CosmicStrand源自於講中文的駭客,且從大
家還沒開始討論UEFI惡意程式的2016年就問世,直至現在,CosmicStrand仍是一個謎團。
UEFI是一個介於平臺韌體與作業系統之間的軟體介面,它負責啟動裝置,再將控制權交給
載入作業系統的軟體,通常存放在主機板的快閃記憶體中。因此,若UEFI被植入惡意程式
,除了難以偵測之外,就算是重灌作業系統,甚至換掉硬碟,都無法移除它。
不過,要在UEFI上植入惡意程式並非易事,駭客必須實際存取裝置,或是藉由精細的手法
自遠端感染,這些都需要付出龐大的心力才能實現,因此,UEFI惡意程式最常出現在目標
攻擊中。
卡巴斯基發現的是CosmicStrand的變種,其主要功能是在系統啟動時下載惡意程式,進而
執行駭客所指定的任務,當它成功通過了啟動的所有階段之後,便會執行一個Shellcode
,連結駭客伺服器,再接收惡意酬載。研究人員在受害電腦上現一個疑似與CosmicStrand
有關的惡意程式,該惡意程式會在作業系統上建立一個具備管理員權限的新帳號aaaabbbb
(下圖),而此一發現與奇虎360團隊(Qihoo360)在2017年的揭露一致。
圖片來源/卡巴斯基
更有趣的是,這些遭到CosmicStrand感染的使用者,都是一些名不見經傳的小人物,也未
隸屬於任何重要的組織,亦僅使用免費版的卡巴斯基防毒軟體。受害者主要分布於中國、
越南、伊朗與俄羅斯。
迄今卡巴斯基研究人員無從了解CosmicStrand究竟是如何入侵主機板上的UEFI韌體的,僅
知所有受到感染的都是技嘉與華碩主機板,它們的共通點是使用英特爾的H81晶片組,由
於目前所觀察到的受害者都是尋常百姓,讓研究人員猜測或許是某個元件含有可自遠端於
UEFI植入惡意程式的安全漏洞。
不僅是感染途徑撲朔,研究人員也無法確定CosmicStrand的實際感染數量或是C&C伺服器
數量,研究人員更好奇的是,倘若駭客在2016年就知道利用UEFI惡意程式,那麼這群駭客
現在使用的是什麼?
由於CosmicStrand有許多程式碼模式都與中國駭客所打造的挖礦程式MyKings類似,使得
卡巴斯基認為CosmicStrand應是由中文駭客所打造,或至少利用了中文的共享資源。
8月2日更新資訊
華碩在8月2日上午表示,經過他們的調查,這起事件是主機板的BIOS燒錄器遭到不明外力
竄改,或是在更換ROM元件時被植入此惡意軟體,主要影響購買二手主機板的使用者,將
有機會取得內含惡意軟體的產品,因此這起事件並非駭客透過主機板UEFI BIOS的漏洞攻
擊造成。文⊙iThome電腦報資安主編羅正漢
=================================================================================
我的主機板是華碩H310-D配I7-8700 剛好是發現這個病毒初期時做的
基本上這個病毒 只是觀察你的行為
記錄你的密碼 和 打字
然後控制你的鍵盤和滑鼠和螢幕和寬頻 適當的給你一些警告
例如我的天堂2M 會自己打開自動掛機程式並行動
然後在你的銀幕短暫顯示一些字串 警告你 並不會留給你時間拍照
然後吃掉你的寬頻 一直顯示有流量 但是不是你使用的程式再佔的
然後紀錄 你的 打字紀錄 並上傳
我會發現我電腦的GOOGLE帳號會搜尋一些我搜尋過的東西
並把資料搜尋紀錄傳到我手機
我想不到的是 連我手機的打字紀錄 也被上傳
因為我手機有也用華碩 打字過炒作中興賺一百萬 但沒送出
但是我電腦微軟也出現過中興賺一百萬的搜尋紀錄
但我想這只是小小的警告而已 叫我不要大嘴巴
--
eachen=易陳
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 219.85.244.156 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1665330977.A.CCD.html
※ 編輯: eachen (219.85.244.156 臺灣), 10/10/2022 00:00:09
噓
10/10 00:00,
1年前
, 1F
10/10 00:00, 1F
推
10/10 00:01,
1年前
, 2F
10/10 00:01, 2F
→
10/10 00:01,
1年前
, 3F
10/10 00:01, 3F
簡單的說 這個掃毒掃不掉的
※ 編輯: eachen (219.85.244.156 臺灣), 10/10/2022 00:02:59
推
10/10 00:06,
1年前
, 4F
10/10 00:06, 4F
→
10/10 00:09,
1年前
, 5F
10/10 00:09, 5F
噓
10/10 00:10,
1年前
, 6F
10/10 00:10, 6F
→
10/10 00:10,
1年前
, 7F
10/10 00:10, 7F
→
10/10 00:11,
1年前
, 8F
10/10 00:11, 8F
噓
10/10 00:12,
1年前
, 9F
10/10 00:12, 9F
→
10/10 00:13,
1年前
, 10F
10/10 00:13, 10F
噓
10/10 00:16,
1年前
, 11F
10/10 00:16, 11F
推
10/10 00:16,
1年前
, 12F
10/10 00:16, 12F
噓
10/10 00:17,
1年前
, 13F
10/10 00:17, 13F
→
10/10 00:17,
1年前
, 14F
10/10 00:17, 14F
→
10/10 00:18,
1年前
, 15F
10/10 00:18, 15F
→
10/10 00:30,
1年前
, 16F
10/10 00:30, 16F
噓
10/10 00:30,
1年前
, 17F
10/10 00:30, 17F
→
10/10 00:32,
1年前
, 18F
10/10 00:32, 18F
→
10/10 00:34,
1年前
, 19F
10/10 00:34, 19F
→
10/10 00:34,
1年前
, 20F
10/10 00:34, 20F
→
10/10 00:34,
1年前
, 21F
10/10 00:34, 21F
→
10/10 00:34,
1年前
, 22F
10/10 00:34, 22F
噓
10/10 00:34,
1年前
, 23F
10/10 00:34, 23F
→
10/10 00:34,
1年前
, 24F
10/10 00:34, 24F
→
10/10 00:36,
1年前
, 25F
10/10 00:36, 25F
噓
10/10 00:36,
1年前
, 26F
10/10 00:36, 26F
→
10/10 00:37,
1年前
, 27F
10/10 00:37, 27F
推
10/10 00:49,
1年前
, 28F
10/10 00:49, 28F
→
10/10 00:50,
1年前
, 29F
10/10 00:50, 29F
→
10/10 00:50,
1年前
, 30F
10/10 00:50, 30F
推
10/10 00:55,
1年前
, 31F
10/10 00:55, 31F
→
10/10 00:55,
1年前
, 32F
10/10 00:55, 32F
→
10/10 00:56,
1年前
, 33F
10/10 00:56, 33F
→
10/10 00:56,
1年前
, 34F
10/10 00:56, 34F
→
10/10 00:59,
1年前
, 35F
10/10 00:59, 35F
噓
10/10 01:13,
1年前
, 36F
10/10 01:13, 36F
噓
10/10 01:21,
1年前
, 37F
10/10 01:21, 37F
噓
10/10 01:30,
1年前
, 38F
10/10 01:30, 38F
噓
10/10 01:36,
1年前
, 39F
10/10 01:36, 39F
噓
10/10 01:41,
1年前
, 40F
10/10 01:41, 40F
→
10/10 02:16,
1年前
, 41F
10/10 02:16, 41F
噓
10/10 02:18,
1年前
, 42F
10/10 02:18, 42F
推
10/10 03:26,
1年前
, 43F
10/10 03:26, 43F
→
10/10 03:46,
1年前
, 44F
10/10 03:46, 44F
噓
10/10 04:00,
1年前
, 45F
10/10 04:00, 45F
噓
10/10 04:21,
1年前
, 46F
10/10 04:21, 46F
→
10/10 04:56,
1年前
, 47F
10/10 04:56, 47F
推
10/10 05:01,
1年前
, 48F
10/10 05:01, 48F
噓
10/10 05:20,
1年前
, 49F
10/10 05:20, 49F
噓
10/10 05:34,
1年前
, 50F
10/10 05:34, 50F
噓
10/10 06:10,
1年前
, 51F
10/10 06:10, 51F
噓
10/10 07:05,
1年前
, 52F
10/10 07:05, 52F
噓
10/10 07:14,
1年前
, 53F
10/10 07:14, 53F
噓
10/10 07:53,
1年前
, 54F
10/10 07:53, 54F
噓
10/10 08:56,
1年前
, 55F
10/10 08:56, 55F
→
10/10 09:07,
1年前
, 56F
10/10 09:07, 56F
噓
10/10 09:10,
1年前
, 57F
10/10 09:10, 57F
噓
10/10 09:16,
1年前
, 58F
10/10 09:16, 58F
噓
10/10 09:49,
1年前
, 59F
10/10 09:49, 59F
推
10/10 09:52,
1年前
, 60F
10/10 09:52, 60F
→
10/10 09:52,
1年前
, 61F
10/10 09:52, 61F
→
10/10 09:52,
1年前
, 62F
10/10 09:52, 62F
→
10/10 09:53,
1年前
, 63F
10/10 09:53, 63F
噓
10/10 09:58,
1年前
, 64F
10/10 09:58, 64F
噓
10/10 10:16,
1年前
, 65F
10/10 10:16, 65F
噓
10/10 10:21,
1年前
, 66F
10/10 10:21, 66F
噓
10/10 10:45,
1年前
, 67F
10/10 10:45, 67F
噓
10/10 11:42,
1年前
, 68F
10/10 11:42, 68F
→
10/10 11:48,
1年前
, 69F
10/10 11:48, 69F
噓
10/10 12:16,
1年前
, 70F
10/10 12:16, 70F
→
10/10 12:18,
1年前
, 71F
10/10 12:18, 71F
→
10/10 12:19,
1年前
, 72F
10/10 12:19, 72F
→
10/10 12:20,
1年前
, 73F
10/10 12:20, 73F
→
10/10 12:31,
1年前
, 74F
10/10 12:31, 74F
噓
10/10 13:06,
1年前
, 75F
10/10 13:06, 75F
噓
10/10 14:20,
1年前
, 76F
10/10 14:20, 76F
噓
10/10 14:31,
1年前
, 77F
10/10 14:31, 77F
噓
10/10 15:04,
1年前
, 78F
10/10 15:04, 78F
噓
10/10 15:48,
1年前
, 79F
10/10 15:48, 79F
噓
10/10 16:40,
1年前
, 80F
10/10 16:40, 80F
噓
10/10 18:16,
1年前
, 81F
10/10 18:16, 81F
噓
10/10 21:37,
1年前
, 82F
10/10 21:37, 82F
噓
10/10 21:37,
1年前
, 83F
10/10 21:37, 83F
噓
10/10 21:43,
1年前
, 84F
10/10 21:43, 84F
噓
10/10 21:48,
1年前
, 85F
10/10 21:48, 85F
噓
10/10 22:10,
1年前
, 86F
10/10 22:10, 86F
噓
10/10 22:32,
1年前
, 87F
10/10 22:32, 87F
→
10/10 23:51,
1年前
, 88F
10/10 23:51, 88F
噓
10/11 10:44,
1年前
, 89F
10/11 10:44, 89F
→
10/11 10:44,
1年前
, 90F
10/11 10:44, 90F
噓
10/11 15:41,
1年前
, 91F
10/11 15:41, 91F
噓
10/11 20:10,
1年前
, 92F
10/11 20:10, 92F
噓
10/11 20:59,
1年前
, 93F
10/11 20:59, 93F
噓
10/12 14:20,
1年前
, 94F
10/12 14:20, 94F
→
10/12 18:24,
1年前
, 95F
10/12 18:24, 95F
噓
10/13 12:07,
1年前
, 96F
10/13 12:07, 96F