شرکت امنیتی ESET اولین روت کیت UEFI را کشف کرد که در سال 2018 در طبیعت مورد استفاده قرار گرفته بود. این نوع تهدید مداوم موضوع بحث های نظری در بین محققان امنیتی بود، اما در سال های گذشته، مشخص شده است که علیرغم اینکه توسعه آن نسبتاً سخت است، بسیار رایج تر از آنچه قبلاً تصور می شد، است.

این هفته، محققان کسپرسکی روت‌کیت فریم‌افزار جدیدی به نام "CosmicStrand" را معرفی کردند که گمان می‌رود کار یک گروه ناشناس از عوامل مخرب چینی باشد.

محققان توضیح می‌دهند که روت‌کیت در تصاویر میان‌افزار چندین مادربرد ایسوس و گیگابایت مجهز به چیپ‌ست H81 اینتل، یکی از طولانی‌ترین چیپ‌ست‌های دوران Haswell که در نهایت در سال 2020 متوقف شد، کشف شد.

از زمان سیستم عامل UEFI، تولید آن متوقف شد. اولین قطعه کدی است که هنگام روشن کردن رایانه اجرا می شود، این موضوع حذف CosmicStrand را در مقایسه با سایر انواع بدافزار سخت می کند. همچنین شناسایی روت‌کیت‌های میان‌افزار سخت‌تر است و راه را برای هکرها برای نصب بدافزار اضافی بر روی یک سیستم هدف هموار می‌کند.

به سادگی پاک کردن فضای ذخیره‌سازی در رایانه شخصی شما عفونت را از بین نمی‌برد و همچنین جایگزینی دستگاه‌های ذخیره‌سازی نیز نمی‌شود. در مجموع UEFI در اصل یک سیستم عامل کوچک است که در داخل یک تراشه حافظه غیر فرار، که معمولاً روی مادربرد لحیم شده است، زندگی می کند. این به این معنی است که حذف CosmicStrand به ابزارهای خاصی برای تصویربرداری مجدد از تراشه فلش در حالی که رایانه شخصی خاموش است نیاز دارد. هر چیز دیگری کامپیوتر شما را در حالت آلوده رها می کند.

تاکنون فقط ویندوز به نظر می رسد سیستم های کشورهایی مانند روسیه، چین، ایران و ویتنام به خطر افتاده است. با این حال، ایمپلنت UEFI از اواخر سال 2016 در طبیعت مورد استفاده قرار گرفته است، که این احتمال را افزایش می دهد که این نوع عفونت بیشتر از آنچه قبلاً تصور می شد شایع باشد.

در سال 2017، شرکت امنیتی Qihoo360 کشف کرد که چه چیزی می تواند باشد. یک نوع اولیه از CosmicStrand. در سال‌های اخیر، محققان روت‌کیت‌های اضافی UEFI مانند MosaicRegressor، FinSpy، ESpecter، و MoonBounce پیدا کردند.

در مورد CosmicStrand، این یک بدافزار بسیار قوی است که اندازه آن کمتر از 100 کیلوبایت است. اطلاعات زیادی در مورد چگونگی پایان یافتن آن بر روی سیستم های هدف مشخص نیست، اما روش کار آن ساده است. ابتدا، فرآیند بوت را با تنظیم به اصطلاح "hooks" در نقاط خاصی از جریان اجرا آلوده می کند، بنابراین عملکردی را اضافه می کند که مهاجم برای اصلاح بارکننده هسته ویندوز قبل از اجرا نیاز دارد.

از آنجا، مهاجمان می توانند قلاب دیگری را به شکل تابعی در هسته ویندوز نصب کنند که در نسخه بعدی فراخوانی می شود. فرآیند بوت این تابع یک کد پوسته را در حافظه مستقر می کند که می تواند با یک سرور فرمان و کنترل تماس بگیرد و بدافزار اضافی را در رایانه شخصی آلوده بارگیری کند.

CosmicStrand همچنین می تواند حفاظت های هسته مانند PatchGuard (معروف به Microsoft Kernel Patch Protection) را غیرفعال کند. که یک ویژگی مهم امنیتی ویندوز است. همچنین شباهت هایی از نظر الگوهای کد بین CosmicStrand و بدافزار مربوط به بات نت MyKings وجود دارد که برای استقرار cryptominers در رایانه های قربانیان استفاده شده است.

محققان Kaspersky نگران هستند که CosmicStrand یکی از آنها باشد. بسیاری از روت‌کیت‌های فریم‌افزاری که توانسته‌اند سال‌ها پنهان بمانند. آنها خاطرنشان می کنند که "روت کیت های متعددی که تاکنون کشف شده اند نشان دهنده یک نقطه کور در صنعت ما هستند که باید زودتر برطرف شود."

سال‌ها , برخی , مادربرد , گیگابایت , ایسوس , دارای , بدافزار , uefi , بودند