CosmicStrand，一個新的復雜的 UEFI 固件 rootkit 鏈接到中國

卡巴斯基發現了一個新的 UEFI 固件 rootkit，被跟蹤為 CosmicStrand，它歸因于一個未知的說中文的威脅參與者。 

卡巴斯基的研究人員發現了一個名為 CosmicStrand 的 UEFI 固件 rootkit，它被歸咎于一個未知的說中文的威脅參與者。該惡意軟件于 2017 年由中國公司奇虎 360首次發現。

研究人員無法確定最初的攻擊媒介，但對惡意代碼的分析使專家能夠發現哪些設備可以被 CosmicStrand 感染。rootkit 位于技嘉或華碩主板的固件映像中，這些映像與使用 H81 芯片組的設計有關。研究人員推測存在一個常見漏洞，攻擊者利用該漏洞將 rootkit 注入固件映像。

“在這些固件映像中，已對 CSMCORE DXE 驅動程序進行了修改，其入口點已被修補以重定向到 .reloc 部分中添加的代碼。這段代碼在系統啟動期間執行，會觸發一個長執行鏈，導致在 Windows 中下載和部署惡意組件。” 閱讀專家發表的分析。“查看我們能夠獲得的各種固件映像，我們評估這些修改可能是使用自動修補程序執行的。如果是這樣，那么攻擊者就可以事先訪問受害者的計算機，以提取、修改和覆蓋主板的固件。”

研究人員認為，攻擊者可能使用了前驅惡意軟件植入物來注入 rootkit，或者可能已經對目標設備進行了物理訪問。

感染過程旨在篡改操作系統加載程序以在 Windows 內核的功能中設置另一個掛鉤。一旦在操作系統的正常引導過程中調用此函數，惡意軟件就會最后一次控制執行流程。

惡意代碼在內存中注入 shellcode 并聯系 C2 服務器以檢索實際的惡意有效載荷以在目標計算機上運行。

CosmicStrand 通過向 C2 服務器 (update.bokts[.]com) 發送一個特制的 UDP（最好）或 TCP 數據包來檢索最終的有效負載，C2 服務器反過來回復一個或多個包含具有特定結構的 528 字節塊的數據包。然后這些塊被重新組裝成一系列字節，這些字節映射到內核空間并解釋為 shellcode。

研究人員確定的受害者是位于中國、越南、伊朗和俄羅斯的個人，與任何組織或垂直行業沒有聯系。

由于 CosmicStrand 與其他惡意軟件株（例如MyKings 僵尸網絡和MoonBounce UEFI 植入物）之間的代碼重疊，專家們將 rootkit 歸咎于說中文的威脅行為者。

“CosmicStrand 是一個復雜的 UEFI 固件 rootkit，它的所有者可以實現非常持久的持久性：計算機的整個生命周期，同時非常隱蔽。它似乎已經使用了幾年，但仍有許多謎團。” 報告結束。“還有多少植入物和 C2 服務器仍然在躲避我們？哪些最后階段的有效載荷正在交付給受害者？而且，CosmicStrand 真的有可能通過 包裹“攔截”接觸到一些受害者嗎？無論如何，迄今為止發現的多個 rootkit 證明了我們行業中的一個盲點，需要盡早解決。”