来自反病毒厂商卡巴斯基的安全威胁研究小组最近发现了一个名为“CosmicStrand”的恶意程序。事实上,该恶意程序并非新病毒,2016-2017年曾爆发过早期版本的“谍影”木马。目前在华硕和技嘉的固件中均发现了该UEFI恶意程序,即使重装Windows系统也无法清除该UEFI恶意程序。卡巴斯基表示,现阶段只有Windows系统受到攻击:“现阶段发现的所有攻击设备都运行Windows系统:每次重启电脑,Windows重启后都会执行一段恶意代码。目的此代码的一部分是连接到C2(命令和控制)服务器并下载其他可执行恶意程序”。在深入分析Securelist的文章中,卡巴斯基详细描述了该恶意程序的运行机制:工作流程包括不断设置挂钩,使恶意代码一直持续到操作系统启动。涉及的步骤是:1.整个链从受感染的固件启动开始2.恶意软件在启动管理器中设置恶意挂钩,允许在执行之前修改Windows的内核加载程序。3.通过篡改操作系统加载程序,攻击者可以在Windows内核的功能中设置另一个挂钩。4.当该函数稍后在操作系统的正常启动过程中被调用时,恶意软件最后一次控制了执行流程。5.它在内存中部署一个shellcode并联系C2服务器以检索在受害者机器上运行的实际恶意负载。
