​В материнских платах Gigabyte и Asus обнаружен загадочный UEF | }{@kep

​В материнских платах Gigabyte и Asus обнаружен загадочный UEFI-руткит

Исследователи обнаружили новую версию UEFI -руткита CosmicStrand. Впервые вредонос был обнаружен китайской компанией Qihoo360 в 2017 году. Руткит находится в образах прошивок материнских плат Gigabyte и Asus, использующих чипсет H81 и долго оставался незамеченным. От руткита пострадали граждане Китая, Вьетнама, Ирана и России.

Цель вредоноса – вмешаться в процесс загрузки ОС и установить имплант в ядре Windows, который будет загружаться каждый раз вместе с запуском ОС. После этого в память внедряется шеллкод, соединяющийся с C&C-сервером для получения и запуска вредоносной полезной нагрузки на устройстве жертвы.

Вредонос получает полезную нагрузку в несколько шагов:
- Отправляется специально созданный UDP или TCP пакет на C&C-сервер (update.bokts[.]com);
- C&C-сервер отвечает, отправляя на устройство жертвы один или несколько пакетов, содержащие 528 байт данных;
- После этого пакеты с данными собираются в правильной последовательности и попают в пространство ядра.