Kaspersky cảnh báo một số bo mạch chủ Asus và Gigabyte đã bị nhiễm phần mềm độc hại trong nhiều năm


Các nhà nghiên cứu của Kaspersky gần đây đã tiết lộ một rootkit mới (phần mềm cung cấp khả năng truy cập liên tục vào máy tính một cách bí mật) có tên “CosmicStrand”, được cho là có xuất xứ từ Trung Quốc.

Các nhà nghiên cứu cho biết bộ rootkit được phát hiện trong phần sụn UEFI của một số bo mạch chủ Asus và Gigabyte được trang bị chipset Intel H81, một trong những chipset có tuổi thọ cao nhất từ ​​thời Haswell, đã bị ngừng sản xuất vào năm 2015, các nhà nghiên cứu cho biết. Năm 2020.

Vì firmware UEFI là đoạn mã đầu tiên chạy khi bạn bật máy tính của mình, điều này làm cho CosmicStrand đặc biệt khó gỡ bỏ so với các loại phần mềm độc hại khác. Phần mềm Rootkit cũng khó bị phát hiện hơn và mở đường cho tin tặc cài đặt nhiều phần mềm độc hại hơn vào các hệ thống mục tiêu.

Ngay cả việc xóa sạch bộ nhớ PC của bạn cũng không xóa được phần mềm độc hại này và thậm chí thay thế thiết bị lưu trữ cũng không. Tương tự như BIOS nhưng hiện đại hơn, UEFI thực chất là một phần mềm tối giản để tương tác với phần cứng, nằm trong một chip nhớ không biến động đảm bảo dữ liệu không bị hỏng. khi mất điện) thường được hàn trên bo mạch chủ. Điều này có nghĩa là xóa CosmicStrand yêu cầu các công cụ đặc biệt để khôi phục chip flash trong khi PC tắt nguồn.

Theo Kaspersky, có vẻ như chỉ có hệ thống Windows ở các quốc gia như Nga, Trung Quốc, Iran và Việt Nam bị xâm nhập.

CosmicStrand là một phần mềm độc hại rất mạnh và có kích thước nhỏ hơn 100 kilobyte. Không có nhiều thông tin về cách nó xâm nhập vào các hệ thống mục tiêu, nhưng cách thức hoạt động của nó rất đơn giản. Đầu tiên, nó lây nhiễm quá trình khởi động bằng cách chèn các “hook” (công nghệ cho phép một chức năng chặn, giám sát, xử lý hoặc hủy bỏ các thông báo trước khi chúng được nhận) vào một số điểm nhất định của chuỗi thực thi, để thêm chức năng cho kẻ tấn công. cần sửa đổi bộ nạp khởi động hạt nhân Windows.

Từ đó, những kẻ tấn công có thể cài đặt một hook khác như một hàm trong nhân Windows được sử dụng trong quá trình khởi động tiếp theo. Chức năng này triển khai một mã shellcode trong bộ nhớ có thể liên hệ với máy chủ điều khiển và tải xuống phần mềm độc hại bổ sung trên PC bị nhiễm.

CosmicStrand cũng có thể vô hiệu hóa các bảo vệ hạt nhân như PatchGuard (Microsoft Kernel Patch Protection), đây là một tính năng bảo mật quan trọng của Windows.

Các nhà nghiên cứu của Kaspersky lo ngại rằng CosmicStrand có thể là một trong nhiều rootkit đã hoạt động trong nền trong nhiều năm, một “điểm mù” mà các chuyên gia cần giải quyết càng sớm càng tốt.

Tham khảo: TechSpot

Bucking nguyễn


Leave a Reply

Your email address will not be published.