UEFI 主板 BIOS 木馬發現新變種

VSole2022-07-26 13:50:19

卡巴斯基的研究人員報告了一種隱藏在主板 UEFI 鏡像難以根除的惡意程序 CosmicStrand，該惡意程序的早期版本被奇虎 360 的研究人員稱為諜影木馬。該惡意程序的開發者被認為使用漢語。奇虎的研究人員在 2017 年報告，諜影木馬會感染 UEFI 兼容模式的 BIOS 引導模塊，UEFI+GPT 模式不受影響，惡意代碼可能是由編程器刷入主板 BIOS，通過電商渠道販賣流通。卡巴斯基發現的 CosmicStrand 感染了華碩和技嘉的主板，攻擊者通過一個修改版的 CSMCORE DXE 驅動注入到固件中，受害者分布在中國、伊朗、越南和俄羅斯。

uefi主板

撤稿糾錯

本作品采用《CC 協議》，轉載必須注明作者和本文鏈接

UEFI 主板 BIOS 木馬發現新變種

2022-07-26 13:50:19

卡巴斯基的研究人員報告了一種隱藏在主板 UEFI 鏡像難以根除的惡意程序 CosmicStrand，該惡意程序的早期版本被奇虎 360 的研究人員稱為諜影木馬。

傳說中的威脅：針對微星設備BootGuard重簽名實現UEFI Bootkit攻擊鏈

2023-09-12 08:42:40

2023年3月，Money Message勒索團伙針對微星(MSI)公司的網絡攻擊成功后，泄露了MSI的一些內部資料，其中包括BootGuard私鑰等敏感數據。BootGuard安全機制是Intel硬件信任體系中重要的組成部分，而其私鑰被泄露，預示著對于某些型號的設備，BootGuard這一主要的安全機制將被繞過。同時，泄露資料中還包括UEFI固件鏡像簽名密鑰。

技嘉曝“類后門”安全漏洞，影響約 700 萬臺設備

2023-06-02 16:35:38

The Hacker News 網站披露， Eclypsium 網絡安全研究員發現技嘉售出的 271 款，近 700 萬片主板中存在”類似后門的“安全漏洞。設備的 UEFI 固件中“潛伏”一個 Windows 可執行文件，并以不安全的格式檢索更新，以此觸發隱藏的更新程序。Eclypsium 指出潛在攻擊者可以利用這種機制，在用戶不知情的情況下安裝惡意程序，且后續難以檢測和刪除。Eclypsium

卡巴斯基研究人員透露 UEFI 惡意程序 MoonBounc

2022-01-22 18:44:41

卡巴斯基研究人員透露了植入到 UEFI 固件中的惡意程序 MoonBounce。該惡意程序被認為來自于 APT41 aka Winnti 或 Double Dragon。惡意程序修改了主板上名為 SPI flash 的元件，它不在硬盤上，因此格式化硬盤或更換硬盤不會清除惡意程序。修改后的固件鏡像允許攻擊者攔截引導序列的執行流，引入一個復雜的感染鏈。

數百個型號的技嘉主板曝出后門

2023-06-02 09:41:39

研究人員近日發現計算機硬件巨頭技嘉生產的數百種主板型號包含后門功能，影響數百萬計算機設備。

CosmicStrand：發現復雜的 UEFI 固件 rootkit

2022-08-06 11:17:34

Rootkit 是植入操作系統最深處的c。盡管在紙面上它們似乎對攻擊者很有吸引力，但創建它們會帶來重大的技術挑戰，并且最輕微的編程錯誤都有可能使受害計算機完全崩潰。

CosmicStrand，一個新的復雜的 UEFI 固件 rootkit 鏈接到中國

2022-07-25 00:00:00

卡巴斯基的研究人員發現了一個名為 CosmicStrand 的 UEFI 固件 rootkit，它被歸咎于一個未知的說中文的威脅參與者。該惡意軟件于 2017 年由中國公司奇虎 360首次發現。

專家發現中國黑客使用的新“CosmicStrand”UEFI固件Rootkit

2022-07-29 10:13:29

據稱，已確認的受害者是中國、越南、伊朗和俄羅斯的私人，與任何組織或行業都沒有明顯聯系。CosmicStrand是一個只有96.84KB的文件，也是繼2022年1月的MoonBounce之后，今年發現的第二個UEFI rootkit菌株，該菌株是作為與中國有聯系的高級持續威脅組織Winnti有針對性的間諜活動的一部分部署的。

供應鏈隱秘攻擊之謎-罕見的“CosmicStrand”UEFI Rootkit現身攻防對抗新賽道

2022-07-26 16:33:43

此執行鏈的目標是在每次啟動時從受感染的UEFI組件開始將內核級植入部署到Windows系統中。研究人員指出，這一特定活動似乎高度針對中國的特定個人，在伊朗和越南也出現了一些案例。

VSole

網絡安全專家

亚洲欧美自拍唯美另类