PTT數位生活區 / PC_Shopping (個人電腦購買)

[情報] 卡巴在技嘉&華碩主板UEFI韌體發現惡意程式

看板PC_Shopping (個人電腦購買)作者 (DoraApen)時間3年前 (2022/07/29 08:23), 編輯推噓32(36425)
留言65則, 48人參與, 3年前最新討論串1/2 (看更多)
卡巴斯基在技嘉與華碩主機板的UEFI韌體上,發現謎樣的惡意程式CosmicStrand ithome 資安業者卡巴斯基(Kaspersky)本周指出,他們在技嘉(Gigabyte)與華碩(ASUS)主 機板上的統一可延伸韌體介面(Unified Extensible Firmware Interface,UEFI)發現 了一個Rootkit惡意程式CosmicStrand,相信CosmicStrand源自於講中文的駭客,且從大 家還沒開始討論UEFI惡意程式的2016年就問世,直至現在,CosmicStrand仍是一個謎團。 UEFI是一個介於平臺韌體與作業系統之間的軟體介面,它負責啟動裝置,再將控制權交給 載入作業系統的軟體,通常存放在主機板的快閃記憶體中。因此,若UEFI被植入惡意程式 ,除了難以偵測之外,就算是重灌作業系統,甚至換掉硬碟,都無法移除它。 不過,要在UEFI上植入惡意程式並非易事,駭客必須實際存取裝置,或是藉由精細的手法 自遠端感染,這些都需要付出龐大的心力才能實現,因此,UEFI惡意程式最常出現在目標 攻擊中。 卡巴斯基發現的是CosmicStrand的變種,其主要功能是在系統啟動時下載惡意程式,進而 執行駭客所指定的任務,當它成功通過了啟動的所有階段之後,便會執行一個Shellcode ,連結駭客伺服器,再接收惡意酬載。研究人員在受害電腦上現一個疑似與CosmicStrand 有關的惡意程式,該惡意程式會在作業系統上建立一個具備管理員權限的新帳號aaaabbbb (下圖),而此一發現與奇虎360團隊(Qihoo360)在2017年的揭露一致。 更有趣的是,這些遭到CosmicStrand感染的使用者,都是一些名不見經傳的小人物,也未 隸屬於任何重要的組織,亦僅使用免費版的卡巴斯基防毒軟體。受害者主要分布於中國、 越南、伊朗與俄羅斯。 迄今卡巴斯基研究人員無從了解CosmicStrand究竟是如何入侵主機板上的UEFI韌體的,僅 知所有受到感染的都是技嘉與華碩主機板,它們的共通點是使用英特爾的H81晶片組,由 於目前所觀察到的受害者都是尋常百姓,讓研究人員猜測或許是某個元件含有可自遠端於 UEFI植入惡意程式的安全漏洞。 不僅是感染途徑撲朔,研究人員也無法確定CosmicStrand的實際感染數量或是C&C伺服器 數量,研究人員更好奇的是,倘若駭客在2016年就知道利用UEFI惡意程式,那麼這群駭客 現在使用的是什麼? 由於CosmicStrand有許多程式碼模式都與中國駭客所打造的挖礦程式MyKings類似,使得 卡巴斯基認為CosmicStrand應是由中文駭客所打造,或至少利用了中文的共享資源。 https://www.ithome.com.tw/news/152146 受害者雖皆為尋常百姓 但內心突然有個陰謀論 該不會這些百姓都是隸屬於某個秘密組織XD -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.175.169.182 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1659054184.A.E96.html
07/29 08:25, 3年前 , 1F
h81 感染到那種不升級的機構比較危吧
07/29 08:25, 1F
07/29 08:36, 3年前 , 2F
韌體居然也能被感染,怎麼搞得
07/29 08:36, 2F
07/29 08:38, 3年前 , 3F
版廠看到h81:不修了,建議更換新電腦
07/29 08:38, 3F
07/29 08:57, 3年前 , 4F
原來是h81啊,沒事就好xd
07/29 08:57, 4F
07/29 09:03, 3年前 , 5F
怕 還好不是G41 我還有兩張
07/29 09:03, 5F
07/29 09:17, 3年前 , 6F
還好我沒錢 只能用Z69系列貧民晶片
07/29 09:17, 6F
07/29 09:18, 3年前 , 7F
b85澀澀花抖
07/29 09:18, 7F
07/29 09:59, 3年前 , 8F
笑死 昨天才修到一部H81
07/29 09:59, 8F
07/29 10:03, 3年前 , 9F
h81喔,我去回收廠找找
07/29 10:03, 9F
07/29 10:08, 3年前 , 10F
可能是挖礦的主機板
07/29 10:08, 10F
07/29 10:18, 3年前 , 11F
可能是mb賣給你時 店家偷偷燒進去的?
07/29 10:18, 11F
07/29 10:21, 3年前 , 12F
在到貨時開箱偷燒比較可能
07/29 10:21, 12F
07/29 10:22, 3年前 , 13F
卡巴?呵呵
07/29 10:22, 13F
07/29 10:35, 3年前 , 14F
卡巴
07/29 10:35, 14F
07/29 11:08, 3年前 , 15F
家中各一B85/H87瑟瑟發抖ing
07/29 11:08, 15F
07/29 11:12, 3年前 , 16F
B85M-G當年的護板神板
07/29 11:12, 16F
07/29 11:16, 3年前 , 17F
我也看到一個惡意程式
07/29 11:16, 17F
07/29 11:16, 3年前 , 18F
會隨意發動戰爭
07/29 11:16, 18F
07/29 11:16, 3年前 , 19F
卡巴你有頭緒嗎?
07/29 11:16, 19F
07/29 11:34, 3年前 , 20F
還好我還在B75,沒事兒
07/29 11:34, 20F
07/29 11:35, 3年前 , 21F
一般人還在用這麼舊的東西也不會有什麼重要資料可以偷啦
07/29 11:35, 21F
07/29 11:56, 3年前 , 22F
卡巴?
07/29 11:56, 22F
07/29 12:09, 3年前 , 23F
因為是安裝卡巴才發現的吧? 所以沒裝卡巴但bios有問題的
07/29 12:09, 23F
07/29 12:09, 3年前 , 24F
還好只有用過H55 (?
07/29 12:09, 24F
07/29 12:09, 3年前 , 25F
用戶數量應該也是很龐大
07/29 12:09, 25F
07/29 12:21, 3年前 , 26F
H81…嗯
07/29 12:21, 26F
07/29 12:31, 3年前 , 27F
會得猴痘嗎?XD
07/29 12:31, 27F
07/29 12:39, 3年前 , 28F
還好不是P55 我主力機沒事
07/29 12:39, 28F
07/29 12:40, 3年前 , 29F
另一台965晶片應該也沒事
07/29 12:40, 29F
07/29 12:47, 3年前 , 30F
還好我都用dos
07/29 12:47, 30F
07/29 12:57, 3年前 , 31F
卡?
07/29 12:57, 31F
07/29 13:00, 3年前 , 32F
現在最夯的是啥? 以前不是都推崇卡巴小紅傘? XDDDD
07/29 13:00, 32F
07/29 13:02, 3年前 , 33F
內建派吧 三不五時就出來嘴2022還有人用防毒
07/29 13:02, 33F
07/29 13:07, 3年前 , 34F
卡巴現在台灣官網就沒免費的 免費仔當然不推
07/29 13:07, 34F
07/29 13:08, 3年前 , 35F
B85/H81的主機目前應該還是蠻多公家機關和學校在用喔XD
07/29 13:08, 35F
07/29 13:08, 3年前 , 36F
我們實驗室就一台
07/29 13:08, 36F
07/29 13:08, 3年前 , 37F
其實你去防毒版看根本被卡巴洗版,都可以改名卡巴合
07/29 13:08, 37F
07/29 13:08, 3年前 , 38F
購版惹
07/29 13:08, 38F
07/29 13:10, 3年前 , 39F
07/29 13:10, 39F
07/29 13:11, 3年前 , 40F
因為卡巴好用 自然就會這樣 不管免費付費都是
07/29 13:11, 40F
07/29 13:17, 3年前 , 41F
來了 俄國人開始洩弄小習的後門了
07/29 13:17, 41F
07/29 13:19, 3年前 , 42F
鵝國軟體pa55。我用芬安全
07/29 13:19, 42F
07/29 13:22, 3年前 , 43F
俄羅斯防毒?呵呵
07/29 13:22, 43F
07/29 13:26, 3年前 , 44F
很多品牌套裝電腦都用這類文書主機板吧
07/29 13:26, 44F
07/29 13:31, 3年前 , 45F
去google了一下卡巴有免費的啊,只是中文版沒更新到吧
07/29 13:31, 45F
07/29 13:32, 3年前 , 46F
用習慣了就不想換了+1 政治問題我不在意
07/29 13:32, 46F
07/29 13:37, 3年前 , 47F
中國、越南、伊朗與俄羅斯 嗯嗯 真剛好
07/29 13:37, 47F
07/29 13:39, 3年前 , 48F
這些尋常百姓會不會是修卡秘密組織潛伏成員
07/29 13:39, 48F
07/29 14:26, 3年前 , 49F
這些國家 不就獨裁專制的嗎? 會監視你 正常吧?
07/29 14:26, 49F
07/29 14:27, 3年前 , 50F
搞不好這種是國家機器?
07/29 14:27, 50F
07/29 14:30, 3年前 , 51F
韌體也會中毒?
07/29 14:30, 51F
07/29 15:28, 3年前 , 52F
俄羅斯公司 布丁的英毛喔
07/29 15:28, 52F
07/29 15:40, 3年前 , 53F
還好有卡巴
07/29 15:40, 53F
07/29 15:42, 3年前 , 54F
DDOS的殭屍也是要養阿
07/29 15:42, 54F
07/29 16:38, 3年前 , 55F
有點像早期的CIH病毒
07/29 16:38, 55F
07/29 17:33, 3年前 , 56F
PTT防毒版都推薦來自俄國的卡巴斯基,有甚麼不好嗎?
07/29 17:33, 56F
07/29 18:46, 3年前 , 57F
CIH不是躲在機器韌體裡,是破壞機器韌體
07/29 18:46, 57F
07/29 19:11, 3年前 , 58F
我敢保證 目前台灣網站沒有免費板 但我也不否認
07/29 19:11, 58F
07/29 19:11, 3年前 , 59F
有人抓的到
07/29 19:11, 59F
07/29 20:12, 3年前 , 60F
有免費版啊 讓你用30天而已
07/29 20:12, 60F
07/29 22:41, 3年前 , 61F
到底有沒有免費版?我都不知道是反串還是認真了
07/29 22:41, 61F
07/29 23:33, 3年前 , 62F
卡巴哈哈 幫布丁撈私房錢打鄰居蒸蚌
07/29 23:33, 62F
07/30 23:33, 3年前 , 63F
2022開始卡巴免費版不提供中文
07/30 23:33, 63F
07/30 23:33, 3年前 , 64F
所以是英文免費版,但沒鎖區
07/30 23:33, 64F
07/31 01:23, 3年前 , 65F
結論主機板選MSI就可以了
07/31 01:23, 65F
更多 DsLove710 的文章
文章代碼(AID): #1YuoXewM (PC_Shopping)
PC_Shopping 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 DsLove710 的文章
文章代碼(AID): #1YuoXewM (PC_Shopping)