CosmicStrand:高级固件 Rootkit 可实现持久的持久性
雅加达 - 卡巴斯基研究人员发现,由高级持续性威胁行为者(APT)开发的rootkit仍在受害者的机器上。实际上,如果重新启动操作系统或重新安装Windows,从长远来看,这将使它变得非常危险。
这款UEFI固件rootkit被称为“CosmicStrand”,主要用于攻击中国的个体,越南,伊朗和俄罗斯的情况很少见。
UEFI 固件是大多数硬件中的重要组件。其代码负责启动设备,启动加载操作系统的软件组件。
如果以某种方式或以其他方式修改了 UEFI 固件以包含恶意代码,它将在操作系统之前启动,使其活动可能对操作系统的安全和防御解决方案不可见。
这一点以及固件与硬件位于不同芯片上的事实使得对UEFI固件的攻击非常复杂和持久,因为无论重新安装操作系统的次数如何,恶意软件都将保留在设备上。
CosmicStrand是卡巴斯基研究人员最近发明的UEFI固件,与以前未知的中文威胁行为者有关。
虽然攻击者追求的最终目标仍然未知,但观察到受影响的受害者是个人用户,而不是属于公司或组织的计算机。
所有受攻击的计算机都是基于Windows的:每次重新启动计算机时,Windows启动后都会执行一些恶意代码。目标是连接到 C2 服务器(命令和控制)并下载其他恶意可执行文件。
研究人员无法确定rootkit是如何最终出现在受感染的机器上的,但在线发现的未经证实的帐户显示,一些用户在在线订购硬件组件时收到了受感染的设备。
CosmicStrand最引人注目的方面是,UEFI植入物似乎自2016年底以来一直在免费使用,远在UEFI攻击开始被公开描述之前。
“虽然它是最近发现的,但CosmicStrand UEFI固件rootkit似乎已经使用了很长一段时间。这表明,一些威胁行为者具有高度复杂的能力,自2017年以来,他们已经设法将其置于雷达之下。我们想知道他们创造了什么新工具,同时,这是我们还没有发现的,“卡巴斯基全球研究与分析团队(GReAT)的高级安全研究员Ivan Kwiatkowski评论道。
对CosmicStrand框架及其组件的更详细的分析在安全列表中提供。
为了抵御CosmicStrand等威胁,卡巴斯基建议:
让您的 SOC(安全运营中心)团队能够访问最新的威胁情报 (IT)。卡巴斯基威胁情报门户是 IT 的单一接入点,提供卡巴斯基 20 多年来收集的网络攻击数据和见解。部署 EDR 解决方案,实现端点级快速检测、调查和事件恢复,例如卡巴斯基端点检测和响应。为您的员工提供基本的网络安全卫生培训,因为许多针对性攻击都是从网络钓鱼或其他社交工程技术开始的。它使用强大的端点安全产品,可以检测固件使用情况,例如卡巴斯基网络安全解决方案 - 企业版。定期更新 UEFI 固件,并仅使用来自受信任供应商的固件。