Security Week 2231: UEFI-руткит CosmicStrand

На прошлой неделе исследователи «Лаборатории Касперского» опубликовали подробный отчет о новом рутките CosmicStrand. Было проанализировано несколько сэмплов вредоносного кода, извлеченных из материнских плат с чипсетом Intel H81 (выпускался с 2013 по 2020 годы, поддерживает процессоры Intel поколения Haswell). Изначальный способ заражения таких компьютеров неизвестен, но авторы работы предполагают, что могла эксплуатироваться общая для таких материнских плат уязвимость.

Задача руткита — обеспечить атакующим доступ к зараженной системе даже в случае переустановки операционной системы и полного удаления данных. Для этого CosmicStrand помещается в прошивку UEFI на материнской плате, а при загрузке компьютера модифицирует код ядра Windows. Возможность выполнять в дальнейшем код с привилегиями ядра максимально затрудняет обнаружение руткита.
Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Мыслепреступление на Android: как скрыть Перехватчик трафика от Государственных приложений
• Хак сортировки новостей по цифровому коду (Плагин для DLE 13-19.1)
• Путаница в уязвимостях WSUS: ставим все на свои места
• Хостеры против VPN: что на самом деле скрывают поправки “Антифрод 2.0”
• Как я чуть не потерял свои скрипты из-за того, что РКН и Telegram не поделили IP-адреса
• Sber X-TI: разбираем бесплатную платформу кибербезопасности от Сбера
• От правил корреляции к когнитивному ассистенту: что меняется в архитектуре SOC с приходом ИИ
• Правда все: Убьет ли ИИ достоверность в онлайне?
• PUNKT E: PUNKT E консолидирует рынок, приобретая операторский бизнес Sitronics Electro
• Квантовая криптография: принципы, протоколы, сети