按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

搭載 Intel H81 晶片組的部分主機板發現 UEFI rootkit 惡意軟體

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-07-28
  • 點閱次數:1442
搭載 Intel H81 晶片組的部分主機板發現 UEFI rootkit 惡意軟體 TWCERT/CC

資安廠商 Kaspersky 日前發現,搭載 Intel H81 晶片組的部分主機板產品,其 UEFI 的韌體程式碼中發現一個名為 CosmicStrand 的 rootkit 惡意軟體,且可追溯至 2016 年底。

UEFI(Unified Extensible Firmware Interface)是主機板韌體與作業系統的溝通橋樑,是電腦開啟電源時最先執行的程式碼;執行完此程式碼後,才會載入作業系統與後續的資安防護軟體,因此 UEFI 內的 rootkit 惡意軟體,不只開發難度高,也十分難以偵測移除。

這次由 Kaspersky 資安專家發現的 ComicStrand rootkit 惡意軟體,會修改作業系統載入程序,取得電腦控制權限,並在 Windows 核心中直接執行下載自駭侵控制伺服器的惡意酬載。

資安專家表示,ComicStrand 與另一家資安廠商奇虎 360 在 2017 年發現的另一個 rootkit 惡意軟體十分接近,可以視為該惡意軟體的變種;而 Kaspersky 也指出,發現 CosmicStrand rootkit 的主機板,同樣都採用 Intel H81 晶片組,因此可以推測駭侵者可能利用 Intel H81 晶片組內的一個漏洞,來進行 CosmicStrand 的開發與布署。

Kaspersky 目前發現含有此 rootkit 的主機板,均為 2013 至 2015 間生產的舊品,目前早已停產。

Kaspersky 說明,目前尚難以發現駭侵者是用什麼手法在主機板中注入 CosmicStrand rootkit,因為必須進行裝置實體操作,才能在韌體中注入惡意軟體;目前推測是駭侵者散布含有惡意程式碼的韌體更新程式,來進行 CosmicStrand 的散布。

建議進行任何軟硬體的系統更新時,切勿使用來路不明的更新工具;請務必自產品官方網站或內建更新機制進行更新,以免感染此類惡意軟體。

主機板製造廠商也建議:
1、客戶購買二手主機板,立即上網下載最新的官方 BIOS image 更新。若無法更新或提示型號不對,可送鄰近維修點辨認處理。
2、若需要硬體層級的保護,可採用具有 Intel Boot Guard 或 Intel Platform Firmware Resilience 功能的主機板,並啟動 UEFI Secure Boot 功能確保 trust chain,能抵擋 ROM 元件被更換或直接燒錄的攻擊。

回頁首