近日反病毒廠商卡巴斯基的一支安全威脅研究團隊發現了名為CosmicStrand的惡意程序���。事實上,這款惡意程序并不是新病毒�,而是曾在2016-2017年爆發“Spy Shadow”木馬的更新版本����。目前在華碩和技嘉的固件中發現了這款UEFI惡意程序��,即使重新安裝Windows系統也無法移除這款UEFI惡意程序��。
卡巴斯基方面表示,現階段發現的所有攻擊設備都運行在Windows系統之上:每次電腦重啟�,在Windows重啟之后將會執行一段惡意代碼�。該代碼的目的是連接到C2(命令和控制)服務器�����,并下載額外可執行的惡意程序����。
CosmicStrand的工作流程包括連續設置鉤子�,使惡意代碼持續到OS啟動后。涉及的步驟是: 1. 整個鏈條的起始是感染固件引導 2. 該惡意軟件在啟動管理器中設置了惡意鉤���,允許在執行Windows的內核加載程序之前修改它。 3. 通過篡改OS加載器�,攻擊者可以在Windows內核的功能中設置另一個鉤子�。 4. 當后來在OS的正常啟動過程中調用該功能時��,惡意軟件最后一次控制執行流程����。 5. 在內存中部署一個殼牌碼����,并與C2服務器聯系以檢索實際的惡意有效載荷以在受害者的機器上運行��。
京公網安備 11010502041587號