Nhiều mainboard của Gigabyte và Asus chứa phần mềm độc hại trong nhiều năm mà không ai biết

HaiiDeas

Viết dạo...
Tham gia
23/4/16
Bài viết
13,858
Được thích
17,166
5628 #1

Gần đây, các nhà nghiên cứu tại Kasspersky đã phát hiện ra một rootkit UEFI chứa phần mềm độc hại (có tên CosmicStrand) trong firmware bo mạch chủ của Gigabyte và Asus. Nguồn gốc được xác định là của một nhóm hacker Trung Quốc không rõ danh tính.

Theo các nhà nghiên cứu cho biết, "CosmicStrand" được tìm thấy trên các dòng mainboard hỗ trợ CPU Intel thế hệ thứ 8 (H81) của Asus và Gigabyte. Điều đáng nói là chipset này đã ra mắt từ năm 2013 và hiện đã bị ngừng sản xuất.

Do firmware UEFI là đoạn mã đầu tiện chạy khi người dùng bật máy tính, điều này làm cho CosmicStrand trở nên khó bị loại bỏ hơn so với các loại phần mềm độc hại khác. Bộ rootkit này cũng được "ngụy trang" tinh vi hơn nhằm mở đường cho tin tặc cài đặt thêm phần mềm độc hại vào hệ thống mục tiêu.

Việc xóa bộ nhớ hay thay thế ổ cứng PC sẽ không giúp loại bỏ được khả năng lây nhiễm của CosmicStrand. UEFI thực chất là hệ điều hành nhỏ tồn tại bên trong một chip nhớ, thường được hàn trực tiếp trên bo mạch chủ, khiến cho việc xóa phần mềm độc hại CosmicStrand trở nên phức tạp hơn khi cần sử dụng các công cụ đặc biệt.


Tính đến thời điểm hiện tại, CosmicStrand được xác định chủ yếu tại các nước như Nga, Trung Quốc và Việt Nam. Tuy nhiên, việc cấy ghép UEFI đã được sử dụng rầm rộ từ cuối năm 2016, điều này làm tăng khả năng lây nhiễm trở nên phổ biến hơn so với giả định trước đây. Trở lại năm 2017, công ty bảo mật Qihoo360 đã phát hiện một "biến thể" đầu tiên của CosmicStrand. Trong những năm gần đây, các nhà nghiên cứu cũng đã tìm thấy các rootkit UEFI kiểu mới như MosaicRegressor, FinSpy, ESpecter hay MoonBounce.

Đối với CosmicStrand, đây là một loại phần mềm độc hại rất mạnh mặc dù kích thước chưa đên 100 kilobyte. Không có nhiều thông tin về cách nó hoạt động trên các hệ thống mục tiêu, nhưng được cho là rất đơn giản và hiệu quả. Đầu tiên, nó lây nhiễm vào quá trình khởi động bằng cách đặt "hooks" trên một số điểm nhất định trong hệ thống, từ đó giúp kẻ tấn công sửa đổi bộ tải kernel của Windows trước khi nó được thực thi.


Từ đó, những kẻ tấn công có thể cài đặt một hook khác dưới dạng một hàm trong kernel được sử dụng trong quá trình khởi động tiếp theo. Chức năng này triển khai một mã shellcode trong bộ nhớ có thể liên hệ với máy chủ điều khiển và tải về phần mềm độc hại bổ sung trên PC bị nhiễm. CosmicStrand cũng có thể vô hiệu hóa các lớp bảo vệ như PatchGuard (được gọi là Microsoft Kernel Patch Protection), đây là một tính năng bảo mật quan trọng của Windows.

Các nhà nghiên cứu của Kaspersky lo ngại rằng CosmicStrand có thể là một trong nhiều rootkit đã được ẩn trong phần cứng từ nhiều năm nay, điều mà các nhà sản xuất như Gigabyte hay Asus cần giải quyết triệt để.

Xem thêm:

TECHRUM.VN / THEO: TECHSPOT
 

juha8x

Active Member
Tham gia
29/11/18
Bài viết
207
Được thích
71
#2
Đang dùng B360M-D2V của Gigabyte
 

icekingcoll

New Member
Tham gia
3/8/22
Bài viết
1
Được thích
0
#3
" dòng mainboard hỗ trợ CPU Intel thế hệ thứ 8 (H81)", cái này phải hiểu thế nào ta, chứ main H81 hỗ trợ cpu intel thế hệ thứ 4 mới đúng . thứ 8 phải là h310, b360, z390 mới phải chứ nhỉ.
 

cashatm

Member
Tham gia
30/10/22
Bài viết
80
Được thích
0
#4
[email protected]

jokerstashaQllDARKNET<kstuff<coin13<Badb<xstuff<shopadmin<

Track2.name^ Kstuff.biz^Badb.cc^Bulba.cc^Badb.su^coin13.us^2pac.cc"^®Badb.ru^

FULLZ US SSN+DL USA Fullz [ Full Name / SSN + DOB / Driver License with State

Name =mmn=Ein=Employer=Salary income/ Address / ZIP / Phone / Email ]

%B4910051030702405^YAMAN/RAMAZAN ^26121260302800604000000?
;4910051030702405=26121260302860400000?
+015001580072866189079=0047500750063358351000001200000181874083=00000002500250341

100702488806341
PIN:0854

This is arqidarknet from

torre,zorldcard, market pro,

I sell first hand pos data,atm datas,resellers welcome,
usable pos,atm
dumps+password 6 digits and 4 digits.
Duouble and single track 100% live approval
Bank logins with email and phone access with cookies from the computer.

PAYPAL, MT103 DEALS
bank logs,email access,password
RDP
hack bibbles
Cvv=address
eu-usa-asia

fENTANYL pathes=powder
ships worldwide
CARFENTANIL 1kg
Heroin
Delivery world wide

minimum order is 10pieces

no test for new clients* consideration could be consider on basis.

make money with bank tools,risk and be rich.better than die poor!!

Wu logs to use make online money transfer in stock

fullz+full info+DL+mmn+dob+employer+scan+scoe 800-850
美国/加拿大/巴西 101-201 80 美元,如果您多买可享受 30% 的折扣


亚洲/中国 101/201 每件 350 美元,多买 30% 折扣
JCB $250

四位密码=$250

密码六位= $500

我不退还或更换出售前在检查器上检查过的数据,

更换未在检查器上检查的坏卡={三小时,PASSWORD 数据替换必须证明从 ATM 收到}

===== ONLY THE STRONGEST=====

WOULD YOU RATHER JOIN THE GAME?

1RULE===ASK 4 TEST GET IGNORED=====

minimum order is 10pieces

no test for new clients* consideration could be consider on basis.

make money with bank tools,risk and be rich.better than die poor!!

Looking for real supplier OF(TRACK1-TRACK2-TRACK3)Dumps Datas,Pos,skimmers,logs

etc? Dont look no more,quality is expensve and very reliable supplier
.visit the trading platform for market exchange with great reputation.


ti.com
Holder address, Holder name, Last 4 digits of account number,
CitiBusiness® / AAdvantage® Platinum Select® MasterCard®-6355 $7,655.59
American Airlines Rewards 170,254 Miles
Available revolving credit $1,544.41
$7,655.59
673
skr.sh/s71yVQuIh Track2.name^ Kstuff.biz^Badb.cc^Bulba.cc^Badb.su^coin13.us^2pac.cc"^®Badb.ru^

Free forum : Emv Chip Решение Перерыв

Dump Data+Password (4 digit) (6

digit)
Unionpay- Discover-Dinnerscard-JCB
VISA-MASTERCARD-GOLD-CLASSIC
 

Theo dõi Youtube

MSI Pulsating Power

Thành viên online

Không có thành viên trực tuyến lúc này

Quảng Cáo

Quảng Cáo

Có thể bạn quan tâm

Top Bottom