CosmicStrand:隱身在UEFI韌體的Rootkit

Kaspersky的專家近日發現新版本的CosmicStrand,隱身在UEFI (Unified Extensible Firmware Interface)韌體以逃避偵查,能夠在電腦開機時先行加載然後啟動操作系統。

危險的UEFI惡意程式

由於UEFI韌體嵌入在底板的晶片,而不是寫在硬盤上,所以對任何硬盤的操作都能免疫,也因此難以移除UEFI為基礎的惡意程式,即使刪除硬盤重裝操作系統也不會影響到UEFI,相同的原因,並非所有保安方案能夠偵測潛伏在UEFI的惡意程式。

然而感染UEFI也並不是簡單任務,需要物理性地接觸裝置或透過某些精密機制進行遙距感染韌體,此外,為了達成最終目的(無論是甚麼),惡意程式除了要進駐UEFI,還要在啟動時滲透操作系統,全部都要付出相當「努力」才能成功,也顯示了為何常見的攻擊目標都是知名的個體或機構。

受害者和可能的感染媒介

根據研究人員的發現,受感染的底板全部來自兩家廠商,憑此推斷,攻擊者可能在那些底板上找到共通的安全漏洞,而令感染UEFI變成可行。不過暫時仍不能確定網絡犯罪份子如何傳送惡意程式,研究人員發現的受害者都是「小角色」,有可能攻擊者是透過遙距操作進行感染,而其他研究所的工作人員就有其他發現,指出2016年版的CosmicStrand其中一位受害者,是從零售商購入了一塊被修改過的底板。

主要目的是下載惡意程式

CosmicStrand的主要目的是在操作系統啟動時下載惡意程式,然後執行攻擊者設定的動作,成功通過所有OS開啟程序後,rootkit便會執行指令與攻擊者的C&C伺服器聯絡,在此接收惡意內容。Kaspersky的研究人員從一台受感染的機器上找到可能與CosmicStrand相關的惡意程式,惡意程式在操作系統建立了一位名為「aaaabbbb」的用戶並擁有管理員權限,更多技術詳請可以瀏覽Securelist

值得擔憂但無需過度恐慌

CosmicStrand自2016年以來一直低調地運作,沒有或甚少吸引到資安研究人員的注意,這方面值得擔憂,但它也展示了精密、昂貴的惡意程式用在針對性目標,而非大規模攻擊的例子(雖然似乎偶爾會有人隨機被攻擊),其次是Kaspersky的保安方案能從rootkit保護用戶,當中包括偵測CosmicStrand。

資料來源:Kaspersky Blog