UEFI 主板 BIOS 木马发现新变种

VSole2022-07-26 13:50:19

卡巴斯基的研究人员报告了一种隐藏在主板 UEFI 镜像难以根除的恶意程序 CosmicStrand，该恶意程序的早期版本被奇虎 360 的研究人员称为谍影木马。该恶意程序的开发者被认为使用汉语。奇虎的研究人员在 2017 年报告，谍影木马会感染 UEFI 兼容模式的 BIOS 引导模块，UEFI+GPT 模式不受影响，恶意代码可能是由编程器刷入主板 BIOS，通过电商渠道贩卖流通。卡巴斯基发现的 CosmicStrand 感染了华硕和技嘉的主板，攻击者通过一个修改版的 CSMCORE DXE 驱动注入到固件中，受害者分布在中国、伊朗、越南和俄罗斯。

uefi主板

撤稿纠错

本作品采用《CC 协议》，转载必须注明作者和本文链接

UEFI 主板 BIOS 木马发现新变种

2022-07-26 13:50:19

卡巴斯基的研究人员报告了一种隐藏在主板 UEFI 镜像难以根除的恶意程序 CosmicStrand，该恶意程序的早期版本被奇虎 360 的研究人员称为谍影木马。

传说中的威胁：针对微星设备BootGuard重签名实现UEFI Bootkit攻击链

2023-09-12 08:42:40

2023年3月，Money Message勒索团伙针对微星(MSI)公司的网络攻击成功后，泄露了MSI的一些内部资料，其中包括BootGuard私钥等敏感数据。BootGuard安全机制是Intel硬件信任体系中重要的组成部分，而其私钥被泄露，预示着对于某些型号的设备，BootGuard这一主要的安全机制将被绕过。同时，泄露资料中还包括UEFI固件镜像签名密钥。

技嘉曝“类后门”安全漏洞，影响约 700 万台设备

2023-06-02 16:35:38

The Hacker News 网站披露， Eclypsium 网络安全研究员发现技嘉售出的 271 款，近 700 万片主板中存在”类似后门的“安全漏洞。设备的 UEFI 固件中“潜伏”一个 Windows 可执行文件，并以不安全的格式检索更新，以此触发隐藏的更新程序。Eclypsium 指出潜在攻击者可以利用这种机制，在用户不知情的情况下安装恶意程序，且后续难以检测和删除。Eclypsium

卡巴斯基研究人员透露 UEFI 恶意程序 MoonBounc

2022-01-22 18:44:41

卡巴斯基研究人员透露了植入到 UEFI 固件中的恶意程序 MoonBounce。该恶意程序被认为来自于 APT41 aka Winnti 或 Double Dragon。恶意程序修改了主板上名为 SPI flash 的元件，它不在硬盘上，因此格式化硬盘或更换硬盘不会清除恶意程序。修改后的固件镜像允许攻击者拦截引导序列的执行流，引入一个复杂的感染链。

数百个型号的技嘉主板曝出后门

2023-06-02 09:41:39

研究人员近日发现计算机硬件巨头技嘉生产的数百种主板型号包含后门功能，影响数百万计算机设备。

CosmicStrand：发现复杂的 UEFI 固件 rootkit

2022-08-06 11:17:34

Rootkit 是植入操作系统最深处的c。尽管在纸面上它们似乎对攻击者很有吸引力，但创建它们会带来重大的技术挑战，并且最轻微的编程错误都有可能使受害计算机完全崩溃。

CosmicStrand，一个新的复杂的 UEFI 固件 rootkit 链接到中国

2022-07-25 00:00:00

卡巴斯基的研究人员发现了一个名为 CosmicStrand 的 UEFI 固件 rootkit，它被归咎于一个未知的说中文的威胁参与者。该恶意软件于 2017 年由中国公司奇虎 360首次发现。

专家发现中国黑客使用的新“CosmicStrand”UEFI固件Rootkit

2022-07-29 10:13:29

据称，已确认的受害者是中国、越南、伊朗和俄罗斯的私人，与任何组织或行业都没有明显联系。CosmicStrand是一个只有96.84KB的文件，也是继2022年1月的MoonBounce之后，今年发现的第二个UEFI rootkit菌株，该菌株是作为与中国有联系的高级持续威胁组织Winnti有针对性的间谍活动的一部分部署的。

供应链隐秘攻击之谜-罕见的“CosmicStrand”UEFI Rootkit现身攻防对抗新赛道

2022-07-26 16:33:43

此执行链的目标是在每次启动时从受感染的UEFI组件开始将内核级植入部署到Windows系统中。研究人员指出，这一特定活动似乎高度针对中国的特定个人，在伊朗和越南也出现了一些案例。

VSole

网络安全专家