[情報] 殭屍網路病毒TrickBot不僅捲土重來還變得
殭屍網路病毒TrickBot不僅捲土重來還變得更加難纏!研究人員發現駭客開始針對UEFI韌體漏洞下手
https://www.ithome.com.tw/news/141610
被許多駭客組織濫用的殭屍網路TrickBot,今年10月上旬,才被微軟聯手多家資安業者與電信業者,宣稱阻斷其關鍵基礎設施,但該殭屍網路背後的攻擊者不久就捲土重來,而且手法還深入到UEFI與BIOS韌體的層次。
針對TrickBot的近期動態,在12月3日有2家資安公司聯手揭露新的殭屍網路病毒功能模組「TrickBoot」,相較於過往的TrickBot家族,新的模組會偵測攻擊目標電腦的UEFI韌體是否存在弱點,一旦找到可以濫用的漏洞,駭客就能從開機韌體層面來埋伏在受害電腦。
揭露此事的資安公司,分別是專精威脅情報的Advanced Intelligence(AdvIntel),以及提供裝置韌體安全的Eclypsium。前者曾於去年5月,一口氣揭露3家防毒大廠程式碼遭駭的事件;而後者找出不少韌體層級的漏洞,例如,去年揭露8個廠牌伺服器BMC韌體存在漏洞,以及今年發布有關Grub2開機軟體的BootHole漏洞細節等。而這次對於TrickBoot的研究,AdvIntel與Eclypsium都在自己的部落格公布有關細節。
這2家資安公司會聯手的原因,是AdvIntel在TrickBot基礎設施遭到摧毀不久,發現了新的攻擊行動,而且攻擊相當頻繁,相關惡意軟體曾創下最高1天感染4萬臺設備的記錄,而且,他們還發現新的TrickBot變種惡意軟體,與該家族的病毒有所不同的是,它似乎針對受害電腦的韌體而來。
根據Advanced Intelligence偵測到10月初到11月下旬受到TrickBot感染的電腦數量,單日最多有近4萬臺電腦遭到感染,而在時間點的部分,疑似正好就發生在微軟宣布切斷
TrickBot基礎架構運作的10月12日之後。
TrickBot攻擊的範圍幾乎可說是全球各地,而其中較為嚴重的地區,包含了美國華盛頓、阿拉伯聯合大公國,以及希臘等。
對於這個不尋常的TrickBot變種病毒,AdvIntel尋求專門提供裝置韌體防護的Eclypsium,來共同分析所發現的惡意軟體。結果發現,這次TrickBot惡意軟體所出現的新模組,會偵測受害電腦採用的中央處理器型號,然後比對是否存在可被濫用的漏洞,以便攻擊者對於電腦的UEFI或BIOS韌體下手,讀取、寫入,或者是清除。這2家公司將這個模組命名為「TrickBoot」。
AdvIntel和Eclypsium指出,TrickBoot能夠偵察的範圍,涵蓋幾乎所有自2014年以來採用Intel處理器的電腦,並且檢查其UEFI或BIOS韌體,是否存在可被攻擊的弱點。同時,該惡意程式模組也會偵測SPI快閃記憶體的BIOS寫入防護機制狀態。
嚴格來說,TrickBoot並不具備直接竄改電腦韌體的功能。但為何這樣的模組引起這2家資安公司的重視?主要原因是駭客企圖從電腦韌體下手,而這樣的攻擊難以被發現及防範,即使受害者想要清除駭客的工具,僅有更新電腦主機板的SPI快閃記憶體一途,而無法藉由重新安裝作業系統的方式處理。
另一個原因,則是這個TrickBot模組已有讀寫UEFI韌體的能力,甚至能夠執行抹除韌體的工作,這樣的特性是AdvIntel和Eclypsium從TrickBoot的程式碼解析而來。在此之前,被發現具備這種能力的惡意軟體並不多,僅有ESET於2018年發現的LoJax,以及今年10月被卡巴斯基揭露的MosaicRegressor。因此他們認為,TrickBoot的出現,影響的層面會相關廣,不只造成企業重大風險,很可能還會波及國家安全。
========
快升級!
--
電腦都不開機是不是就不會變成殭屍?
拔網路線停用無線跟電源線才有用
※ 編輯: purplvampire (180.177.123.190 臺灣), 12/11/2020 22:05:16用i皇10代以前的主機板都有風險的意思
一般是建議用戶躲在IP分享器後面,減少被掃漏洞的風
險
分享器本身就是後門一堆 更可怕
樓下都直接買新的
fortigate今年一直被挖到漏洞攻擊 一般分享器..堪慮
所以用AMD的不用擔心嗎?
這要看那些廠商的BIOS吧 這個病毒只是單純的把BIOS
抹除掉的話搞不好AMG也會重招
amd 連提都沒提是被跳過嗎?不過這種韌體攻擊應該
有機會感染
分享器漏洞一堆,所以直接接小烏龜很安全?
32
[情報] 卡巴在技嘉&華碩主板UEFI韌體發現惡意程式卡巴斯基在技嘉與華碩主機板的UEFI韌體上,發現謎樣的惡意程式CosmicStrand ithome 資安業者卡巴斯基(Kaspersky)本周指出,他們在技嘉(Gigabyte)與華碩(ASUS)主 機板上的統一可延伸韌體介面(Unified Extensible Firmware Interface,UEFI)發現 了一個Rootkit惡意程式CosmicStrand,相信CosmicStrand源自於講中文的駭客,且從大9
[情報] 第三款UEFI惡意程式MoonBounce現身,格第三款UEFI惡意程式MoonBounce現身,格式化硬碟或重灌系統都拿它沒輒 文/陳曉莉 | 2022-01-24發表 資安業者卡巴斯基(Kaspersky)上周揭露了自2018年以來、所出現的第三支UEFI Bootkit:MoonBounce,由於它寄生在UEFI韌體中,因此就算重新格式化硬碟或重新安裝 作業系統可能都無法移除它,也透露出UEFI Bootkit可能會愈來愈流行。4X
[閒聊] 關於 卡巴斯基所發布的主機板BIOS病毒卡巴斯基在技嘉與華碩主機板的UEFI韌體上,發現謎樣的惡意程式CosmicStrand 卡巴斯基發現CosmicStrand有許多程式碼模式,都與中國駭客打造的挖礦程式MyKings類 似,而且早在UEFI惡意程式尚未被討論的2016年就問世 文/陳曉莉 | 2022-07-27發表 圖片來源:8
[情報] Lexmark印表機韌體出現高風險程式碼執行Lexmark印表機韌體出現高風險程式碼執行漏洞,影響上百款機種 文/林妍溱 | 2023-01-31發表 印表機業者Lexmark本周發布最新版韌體,解決影響上百款機種,可能讓駭客遠端執行程式碼的高風險漏洞。 這項編號CVE-2023-23560漏洞發生在印表機韌體的Web服務功能,屬於伺服器端請求偽造(server-side request forgery,SSRF)漏洞,成功的攻擊可能讓駭客從遠端執行任意程式碼。本項漏洞CVSS 3.1風險值高達9.0。 針對這項漏洞的攻擊發生在印表機上,行為可能包括存取列印任務、取得印表機網路的存取憑證,再藉機攻擊同一網段的其他連網裝置。7
[情報] 微軟:Windows MSHTML漏洞已有勒索軟體開微軟:Windows MSHTML漏洞已有勒索軟體開採 文/林妍溱 | 2021-09-17發表 在Windows MSHTML漏洞揭露有攻擊活動一個星期後,微軟昨(16)日指出,有跡象顯示歹 徒正在利用這項漏洞,發動勒索軟體攻擊。 微軟於9月7日公布編號CVE-2021-40444的Windows重大漏洞,警告已有開採活動,同時提供4
[情報] TPM 2.0程式碼被爆2個可外洩資訊的漏洞TPM 2.0程式碼被爆2個可外洩資訊的漏洞 文/林妍溱 | 2023-03-03發表 攸關資料與身分安全的信賴平臺模組(Trusted Platform Module,TPM)2.0近日被發現參考實作程式碼有2個記憶體毁損漏洞,可造成裝置機密資料外洩,或被駭客升級權限而執行惡意程式碼。 TPM 2.0是安全密碼處理器的國際標準,旨在使用裝置中的安全硬體處理裝置上的加密金鑰,其技術規範是由信賴計算組織(Trusted Computing Group,TCG)編寫。TPM 2.0是電腦安全技術不可或缺的元素,Windows 11需要TPM2.0才能安裝,它也是生物辨識Windows Hello及加密技術BitLocker的關鍵。 兩項漏洞是由Quarks Lab研究人員發現並通報,影響TPM 2.0參考實作1.59、1.38和1.16。根據TPC指出,漏洞都是發生在TPM 2.0 CryptParameterDecryption()函式。其中一個編號CVE-2023-1018是越界讀取(out-of- bounds read),另一個CVE-2023-1017則是越界寫入。兩漏洞可被使用者模式的應用程式觸發,具備基本權限的攻擊者可傳送有加密參數的惡意TPM 2.0指令,到以問題版本實作為基礎的TPM 2.0韌體,達成攻擊目的。2
Re: [情報] 卡巴在技嘉&華碩主板UEFI韌體發現惡意程式卡巴斯基實驗室原文有提到,2017 年時, 合作伙伴奇虎 360 就有發現一個早期變種, 一樣也是感染主機板 UEFI 韌體: