کشف روت‌کیت چینی UEFI در مادربرد‌های برند گیگابایت و ایسوس

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir chinese uefi rootkit found gigabyte and asus motherboards 1
محققان امنیتی Kaspersky یک روت‌کیت فریمور UEFI را تحلیل کرده‌اند که به نظر می‌رسد مدل‌هایی از مادربرد‌های برند گیگابایت و ایسوس را هدف قرار می‌دهد.

این روت کیت با نام «CosmicStrand» و احتمالاً توسط یک عامل تهدید ناشناخته چینی توسعه یافته است، در‌ایمیج فریمور مادربرد‌های گیگابایت و ایسوس با استفاده از چیپ‌ست H81 قرار دارد، که نشان می‌دهد ممکن است یک آسیب‌پذیری رایج برای آلودگی مورد سواستفاده قرار گرفته باشد.

مجموعه Kaspersky معتقد است که تغییرات فریمور ممکن است با یک پچر خودکار انجام شده باشد، که به این معنی است که مهاجم یا به مادربرد‌های آلوده دسترسی فیزیکی داشته یا از ایمپلنتی استفاده کرده است که قبلاً روی مادربرد‌ها کار می‌کرده است.

تصاویر سیستم عامل آلوده حاوی یک درایور «CSMCORE DXE» هستند (که بوت سیستم را در حالت قدیمی از طریق MBR تسهیل می‌کند) که با کدی که در هنگام راه‌اندازی سیستم اجرا می‌شود پچ شده بود تا یک زنجیره اجرایی منجر به استقرار ایمپلنت در سطح کرنل در ویندوز شود.

یک هوک مخرب راه‌اندازی شده در بوت منیجر به این عامل تهدید اجازه می‌دهد تا لودر کرنل ویندوز را قبل از اجرا، برای راه‌اندازی دومین هوک فراخوانی شده در مرحله بعدی فرآیند راه‌اندازی، کنترل فرآیند اجرا و تزریق shellcode در حافظه، تغییر دهد. در مرحله بعد، پس از یک دوره خواب، بدافزار payload نهایی را دریافت می‌کند.

تهدید CosmicStrand همچنین در تلاش برای غیرفعال کردن مکانیسم امنیتی PatchGuard نیز رؤیت شده است.

نمونه‌ای از حالت کاربر که محققان Kaspersky در حافظه یک ماشین آلوده یافتند (و احتمالاً با CosmicStrand مرتبط است) برای اجرای کامند لاین برای ایجاد یک حساب کاربری اضافه شده به گروه ادمین محلی طراحی شده است.

محققان دو نوع از روت کیت را شناسایی کردند که یکی از آن‌ها بین پایان سال ۲۰۱۶ تا اواسط سال ۲۰۱۷ استفاده شد و دیگری در سال ۲۰۲۰ فعال بود که هر کدام از آن‌ها سرور command-and-control (C&C) مخصوص به خود را داشته‌اند.

قربانیان CosmicStrand که توسط کسپرسکی شناسایی شده‌اند، مؤسسات خصوصی از چین، ایران، روسیه و ویتنام هستند که هیچ کدام به سازمان یا صنعت خاصی مربوط نمی‌شوند.
takian.ir chinese uefi rootkit found gigabyte and asus motherboards 2
شرکت امنیت سایبری چینی Qihoo 360 نسخه قبلی این بدافزار را در سال ۲۰۱۷ پس از تماس فردی که برای حذف یک بدافزار بسیار پایدار مشکل داشت، تجزیه و تحلیل کرد. شرکتی که نام بدافزار را «Spy Shadow Trojan» گذاشته است، گزارش داد که قربانی مادربرد آلوده را که قبلاً متعلق به شخص دیگری بوده است، از یک فروشگاه آنلاین خریداری کرده است.

برچسب ها: Spy Shadow Trojan, PatchGuard, چیپ‌ست, CosmicStrand, Gigabyte, ایسوس, گیگابایت, Motherboard, مادربرد‌, ASUS, کرنل, روت‌کیت, kernel, فریمور, MBR, UEFI, Kaspersky, Rootkit, آسیب‌پذیری, windows, ویندوز, malware, Cyber Security, حملات سایبری, فضای سایبری, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ