elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Tutorial básico de Quickjs


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  CosmicStrand: el descubrimiento de un sofisticado rootkit de firmware UEFI
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: CosmicStrand: el descubrimiento de un sofisticado rootkit de firmware UEFI  (Leído 450 veces)
r32
Colaborador
***
Desconectado Desconectado

Mensajes: 1.266



Ver Perfil WWW
CosmicStrand: el descubrimiento de un sofisticado rootkit de firmware UEFI
« en: 26 Julio 2022, 21:48 pm »

En este informe, presentamos un rootkit de firmware UEFI que llamamos CosmicStrand y atribuimos a un actor de amenazas desconocido de habla china. Uno de nuestros socios de la industria, Qihoo360, publicó una publicación de blog sobre una variante temprana de esta familia de malware en 2017.

Dispositivos afectados
Aunque no pudimos descubrir cómo se infectaron inicialmente las máquinas víctimas, un análisis de su hardware arroja luz sobre los dispositivos que CosmicStrand puede infectar. El rootkit se encuentra en las imágenes de firmware de las placas base Gigabyte o ASUS, y notamos que todas estas imágenes están relacionadas con diseños que utilizan el chipset H81. Esto sugiere que puede existir una vulnerabilidad común que permitió a los atacantes inyectar su rootkit en la imagen del firmware.

En estas imágenes de firmware, se han introducido modificaciones en el controlador CSMCORE DXE, cuyo punto de entrada se ha parcheado para redirigir al código agregado en la sección .reloc. Este código, ejecutado durante el inicio del sistema, desencadena una larga cadena de ejecución que da como resultado la descarga y el despliegue de un componente malicioso dentro de Windows.

Al observar las diversas imágenes de firmware que pudimos obtener, evaluamos que las modificaciones pueden haberse realizado con un parche automático. De ser así, se deduciría que los atacantes tenían acceso previo al ordenador de la víctima para extraer, modificar y sobrescribir el firmware de la placa base. Esto podría lograrse a través de un implante de malware precursor ya implementado en la computadora o acceso físico (es decir, un escenario de ataque de sirvienta malvada). El informe inicial de Qihoo indica que un comprador podría haber recibido una placa base con puerta trasera después de realizar un pedido a un revendedor de segunda mano. No pudimos confirmar esta información.





Fuentes:
https://securelist.com/cosmicstrand-uefi-firmware-rootkit/106973/
https://www.bleepingcomputer.com/news/security/cosmicstrand-uefi-malware-found-in-gigabyte-asus-motherboards/
https://www.adslzone.net/noticias/seguridad/placa-base-gigabyte-asus-malware/

Saludos.


En línea

el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 21.326


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: CosmicStrand: el descubrimiento de un sofisticado rootkit de firmware UEFI
« Respuesta #1 en: 26 Julio 2022, 23:44 pm »

Curioso Rootkit. como el de Hanson, pero este resulta que si es verdad  ;D

Encuentran un Rootkit chino llamado CosmicStrand en la BIOS/UEFI de placas base Gigabyte y Asus
https://blog.elhacker.net/2022/07/encuentran-un-rootkit-chino-llamado-CosmicStrand-BIOS-UEFI-placa-bases-gigabyte-asus.html


En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Sony incluye rootkit en el firmware 3.56 de la PS3
Noticias
Hendrix 6 3,663 Último mensaje 31 Enero 2011, 23:42 pm
por chillinfart
El FMI sufre un gran y sofisticado 'ciberataque'
Noticias
wolfbcn 4 2,035 Último mensaje 12 Junio 2011, 16:57 pm
por d(-_-)b
Malware sofisticado
Noticias
wolfbcn 5 1,660 Último mensaje 9 Julio 2011, 04:29 am
por Novlucker
Canonical prepara una alternativa al firmware UEFI
Noticias
wolfbcn 0 1,098 Último mensaje 21 Junio 2012, 21:35 pm
por wolfbcn
Fedora aprueba el uso del arranque con el firmware UEFI
Noticias
wolfbcn 0 1,080 Último mensaje 24 Julio 2012, 22:01 pm
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines