PTT評價

[閒聊] 關於 卡巴斯基所發布的主機板BIOS病毒

eachen 發表於 2022/10/9 下午11:56:09
看板PC_Shopping標題[閒聊] 關於 卡巴斯基所發布的主機板BIOS病毒作者
eachen
 (易陳)時間推噓4X 推:8 噓:51 →:37

卡巴斯基在技嘉與華碩主機板的UEFI韌體上,發現謎樣的惡意程式CosmicStrand
卡巴斯基發現CosmicStrand有許多程式碼模式,都與中國駭客打造的挖礦程式MyKings類似,而且早在UEFI惡意程式尚未被討論的2016年就問世

文/陳曉莉 | 2022-07-27發表


圖片來源:
freestocks on unsplash
資安業者卡巴斯基(Kaspersky)本周指出,他們在技嘉(Gigabyte)與華碩(ASUS)主機板上的統一可延伸韌體介面(Unified Extensible Firmware Interface,UEFI)發現了一個Rootkit惡意程式CosmicStrand,相信CosmicStrand源自於講中文的駭客,且從大家還沒開始討論UEFI惡意程式的2016年就問世,直至現在,CosmicStrand仍是一個謎團。

UEFI是一個介於平臺韌體與作業系統之間的軟體介面,它負責啟動裝置,再將控制權交給載入作業系統的軟體,通常存放在主機板的快閃記憶體中。因此,若UEFI被植入惡意程式,除了難以偵測之外,就算是重灌作業系統,甚至換掉硬碟,都無法移除它。

不過,要在UEFI上植入惡意程式並非易事,駭客必須實際存取裝置,或是藉由精細的手法自遠端感染,這些都需要付出龐大的心力才能實現,因此,UEFI惡意程式最常出現在目標攻擊中。

卡巴斯基發現的是CosmicStrand的變種,其主要功能是在系統啟動時下載惡意程式,進而執行駭客所指定的任務,當它成功通過了啟動的所有階段之後,便會執行一個Shellcode,連結駭客伺服器,再接收惡意酬載。研究人員在受害電腦上現一個疑似與CosmicStrand有關的惡意程式,該惡意程式會在作業系統上建立一個具備管理員權限的新帳號aaaabbbb(下圖),而此一發現與奇虎360團隊(Qihoo360)在2017年的揭露一致。



圖片來源/卡巴斯基

更有趣的是,這些遭到CosmicStrand感染的使用者,都是一些名不見經傳的小人物,也未隸屬於任何重要的組織,亦僅使用免費版的卡巴斯基防毒軟體。受害者主要分布於中國、越南、伊朗與俄羅斯。

迄今卡巴斯基研究人員無從了解CosmicStrand究竟是如何入侵主機板上的UEFI韌體的,僅知所有受到感染的都是技嘉與華碩主機板,它們的共通點是使用英特爾的H81晶片組,由於目前所觀察到的受害者都是尋常百姓,讓研究人員猜測或許是某個元件含有可自遠端於UEFI植入惡意程式的安全漏洞。

不僅是感染途徑撲朔,研究人員也無法確定CosmicStrand的實際感染數量或是C&C伺服器數量,研究人員更好奇的是,倘若駭客在2016年就知道利用UEFI惡意程式,那麼這群駭客現在使用的是什麼?

由於CosmicStrand有許多程式碼模式都與中國駭客所打造的挖礦程式MyKings類似,使得卡巴斯基認為CosmicStrand應是由中文駭客所打造,或至少利用了中文的共享資源。

8月2日更新資訊

華碩在8月2日上午表示,經過他們的調查,這起事件是主機板的BIOS燒錄器遭到不明外力竄改,或是在更換ROM元件時被植入此惡意軟體,主要影響購買二手主機板的使用者,將有機會取得內含惡意軟體的產品,因此這起事件並非駭客透過主機板UEFI BIOS的漏洞攻擊造成。文⊙iThome電腦報資安主編羅正漢


=================================================================================

我的主機板是華碩H310-D配I7-8700 剛好是發現這個病毒初期時做的
基本上這個病毒 只是觀察你的行為
記錄你的密碼 和 打字

然後控制你的鍵盤和滑鼠和螢幕和寬頻 適當的給你一些警告
例如我的天堂2M 會自己打開自動掛機程式並行動
然後在你的銀幕短暫顯示一些字串 警告你 並不會留給你時間拍照
然後吃掉你的寬頻 一直顯示有流量 但是不是你使用的程式再佔的
然後紀錄 你的 打字紀錄 並上傳

我會發現我電腦的GOOGLE帳號會搜尋一些我搜尋過的東西
並把資料搜尋紀錄傳到我手機
我想不到的是 連我手機的打字紀錄 也被上傳
因為我手機有也用華碩 打字過炒作中興賺一百萬 但沒送出
但是我電腦微軟也出現過中興賺一百萬的搜尋紀錄
但我想這只是小小的警告而已 叫我不要大嘴巴

--
eachen=易陳

--

※ PTT 留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 219.85.244.156 (臺灣)
PTT 網址
※ 編輯: eachen (219.85.244.156 臺灣), 10/10/2022 00:00:09

oppoR2010/10 00:00看不懂是我的問題嗎

h8073310/10 00:01X檔案?

spfy10/10 00:01有需求要尋求協助...

簡單的說 這個掃毒掃不掉的

※ 編輯: eachen (219.85.244.156 臺灣), 10/10/2022 00:02:59

atbhao0510/10 00:06怎麼感覺毛毛的啊幹= =

eachen10/10 00:09我的PTT帳號密碼也被掌握 一直被人上線 只是我還有利用

pcfox10/10 00:10現在都10月了在洗什麼?

eachen10/10 00:10價值 不改掉我的密碼

eachen10/10 00:11六樓 因為我搜尋沒有相關資訊我才PO的

pcfox10/10 00:12建議你可以去防毒版問鼎家大大他人很好

eachen10/10 00:13這個BIOS病毒 只能重新買電腦 然後希望新電腦沒有這個病毒

pcfox10/10 00:16先學看懂板規

DsLove71010/10 00:16ID

DsLove71010/10 00:17沒按到噓

eachen10/10 00:17就閒聊阿

eachen10/10 00:18有人不高興了 哀 難怪這麼大的事沒有人PO

AreLies10/10 00:30好久不見

DsLove71010/10 00:30我兩個月前就po過了

eachen10/10 00:32可是我搜尋病毒 跟 卡巴斯基 都沒搜到 你的關鍵字是甚麼

bugz10/10 00:34如果只是bios感染,重刷原廠bios應該有解,最差就用燒錄器燒

bugz10/10 00:34bios。

bugz10/10 00:34如果windows有植入rootkit要另外清除

bugz10/10 00:34比較麻煩,但是不是沒有解。

wahaha9910/10 00:34所以你要先確定你中這個病毒啊

wahaha9910/10 00:34你有確定嗎

Fezico10/10 00:36會中這種的比較奇怪,刷bios不用物理對接?

LiNcUtT10/10 00:36鴿子封包,關鍵字uefi

eachen10/10 00:37我在其他版本的報導是寫是晶片被燒入病毒

kuninaka10/10 00:49卡巴斯機發布病毒幹嘛?

kuninaka10/10 00:50你在歷史版鬧完現在轉戰電蝦喔

kuninaka10/10 00:50怎麼不去繼續研究人種起源

andy19911310/10 00:55共通點 盜版愛用用戶 尤其是越南 俄羅斯跟中國大陸

eachen10/10 00:55你可以討論阿 沒叫你戰 我在歷史版只是

eachen10/10 00:56發布 我對河洛人 客家人的起源

eachen10/10 00:56中國分久必合 合久必分 或許有些人不希望我探討起源

z198709010/10 00:59對 全世界都在監視你 要小心了

aegis4321010/10 01:13本板不是除錯板

vivian9036910/10 01:21

Allen031510/10 01:30 你要確定嘿~~~你確定有中???

lazioliz10/10 01:36

pcfox10/10 01:41當你臉書自嗨喔

justice200810/10 02:16卡巴你信??? 都被美國列入黑名單了

necotume10/10 02:18可憐

pxhome10/10 03:26https://youtu.be/qtCY53Zwru4

warwolf10/10 03:46這ID…你還是回八卦版吧lul

ashlikewing10/10 04:00人類靠卡巴斯基是治療不好的喔

RAA114455710/10 04:21不要搜尋紀錄關閉同步啊幹

kyory10/10 04:56重刷官網Bios並重灌OS就好了

whitefox10/10 05:01把\boot 及\efi換掉即可

elyjames10/10 05:20lol

az56423210/10 05:34這裡不是除錯版更不是精神科 拜託有需求請盡快詢問專業

Snack10/10 06:10

ltytw10/10 07:05發佈X 發現O

Cubelia10/10 07:14感謝大大的無私分享

yeuling930010/10 07:53有病的不是你的電腦

hhh9987610/10 08:56

monmonder10/10 09:07是喔那發個菜單文買新的吧

Severine10/10 09:10這ID就這樣 看到ID先噓再說

azumanga10/10 09:16關閉同步搜尋紀錄不就好了?

lpoijk10/10 09:49沒有掃不掉的毒 別整天幻想

fman10/10 09:52白明顯,原PO其實你已經有妄想症的狀況,現代人有精神疾病也

fman10/10 09:52不是什麼可恥不承認的事情,最重要的是要有病識感,如果你願

fman10/10 09:52意的話,可以詢求相關醫聲的意見,不要把看醫生當成就是有病

fman10/10 09:53聽聽專家的意見來了解自己的狀況也不錯

Kowdan10/10 09:58三小

slsamg711210/10 10:16id給尊重

Lemon93110/10 10:21?

denix10/10 10:45難道你要買七星

acebruce10/10 11:42你一定不知道bios發布流程才這樣妄想XDD

spfy10/10 11:48沒病識感的人說再多都沒用 而且會覺得你要害他 放棄吧

gn011110/10 12:16?

crono010/10 12:18我都遇過說新品的SSD 裡面快取記憶體有病毒要退貨的

crono010/10 12:19死命都要退 都不想直接說你灌的OS不知道哪邊來的

crono010/10 12:20還強調 他就是研究這個的研究生還啥的 不過看起來比我還老

csfp10/10 12:31私以為 3樓說需要協助的並不是你的電腦...

jackwula921110/10 13:06記得去看精神科

harryzx010/10 14:20有病要看醫生

yuijrt10/10 14:31給尊重

Bencrie10/10 15:04a34 ?

gx875912110/10 15:48吸多少?

kevin96310/10 16:40已讀

MaxGDAM10/10 18:16可憐那

KingChang71110/10 21:37欠噓

KingChang71110/10 21:37欠噓*2

KingChang71110/10 21:43欠噓*3

KingChang71110/10 21:48欠噓*4

csh81031710/10 22:10太神了 就你中

KingChang71110/10 22:32欠噓*5

sorrojvr10/10 23:51我以為我在八卦版 原來還在蝦版

giraffe452710/11 10:44google不是很明確告訴你搜尋記錄會記錄在帳號中

giraffe452710/11 10:44自己做帳號同步在那邊自動搜尋真的被害妄想症

awangya10/11 15:41來這邊就是要買新的

Koibito10/11 20:10八卦柵欄又壞了

tom92810/11 20:59這ID不意外

jfgt7j8qgx10/12 14:20

eachen10/12 18:24是我沒搜尋過 他自己蒐的

hsinhanchu10/13 12:07廢文
其他人也閱讀了
PTT 熱門相關
PC_Shopping最新熱門推薦
🔥🔥🔥