Placas base ASUS y Gigabyte con chipsets Intel vulnerables al malware “UEFI Firmware Rootkit” de CosmicStrand

Un nuevo malware conocido como CosmicStrand ha sido descubierto por kaspersky que afecta a las placas base ASUS y Gigabyte con chipsets Intel.

El malware “UEFI Firmware Rootkit” de CosmicStrand afecta a las placas base de ASUS y Gigabyte con chipsets Intel y puede colapsar por completo la máquina víctima

El informe afirma que CosmicStrand es un tipo de UEFI Firmware Rootkit, un tipo de malware que se implanta en los rincones más profundos del sistema operativo, haciéndolos muy difíciles de detectar y dado que estamos hablando de un rootkit, se asegurará de que el la computadora afectada permanece en el estado infectado incluso cuando se reinstala el sistema operativo o el usuario reemplaza el disco duro por completo. Una variante temprana del malware CosmicStrand se remonta a 2017, que fue descubierto por un autor chino pero la nueva versión deja la PC en un estado más vulnerable.

Según el informe, el malware CosmicStrand afecta principalmente a las placas base ASUS y Gigabyte basadas en el chipset Intel H81. El rootkit se adjunta a las imágenes de firmware de las placas base de dicha empresa, lo que indica que puede existir una vulnerabilidad común que permite a los atacantes inyectar rootkit en las imágenes de firmware.

Los autores de malware UEFI enfrentan un desafío técnico único: su implante comienza a ejecutarse tan temprano en el proceso de arranque que el sistema operativo (en este caso, Windows) ni siquiera está cargado en la memoria todavía, y para cuando lo esté, el contexto de ejecución de UEFI habrá terminado. terminado. Encontrar una manera de pasar el código malicioso a lo largo de las distintas fases de inicio es la tarea principal que realiza el rootkit.

El flujo de trabajo consiste en establecer ganchos[1] en sucesión, lo que permite que el código malicioso persista hasta después de que se haya iniciado el sistema operativo. Los pasos involucrados son:

  • El firmware infectado inicial arranca toda la cadena.
  • El malware configura un gancho malicioso en el administrador de arranque, lo que le permite modificar el cargador del kernel de Windows antes de que se ejecute.
  • Al alterar el cargador del sistema operativo, los atacantes pueden configurar otro gancho en una función del kernel de Windows.
  • Cuando esa función se llama más tarde durante el procedimiento de inicio normal del sistema operativo, el malware toma el control del flujo de ejecución por última vez.
  • Despliega un shellcode en la memoria y se comunica con el servidor C2 para recuperar la carga útil maliciosa real para ejecutarla en la máquina de la víctima.

Se dice que se identificaron víctimas en varias regiones, incluidas China, Vietnam, Irán y Rusia. Las PC dentro de estas regiones se han visto afectadas por CosmicStrand y parecen ser particulares. Se cree que el malware CosmicStrand fue desarrollado por un actor de amenazas de habla china “aprovechando los recursos comunes compartidos entre los actores de amenazas de habla china”.

Conclusiones

CosmicStrand es un rootkit de firmware UEFI sofisticado que permite a sus propietarios lograr una persistencia muy duradera: toda la vida útil de la computadora, mientras que al mismo tiempo es extremadamente sigiloso. Parece haber sido utilizado en funcionamiento durante varios años y, sin embargo, quedan muchos misterios. ¿Cuántos implantes y servidores C2 más nos podrían estar eludiendo? ¿Qué cargas útiles de última etapa se entregan a las víctimas? Pero también, ¿es realmente posible que CosmicStrand haya llegado a algunas de sus víctimas a través de paquete “interdicción”? En cualquier caso, los múltiples rootkits descubiertos hasta ahora evidencian un punto ciego en nuestra industria que debe abordarse lo antes posible.

El aspecto más llamativo de este informe es que este implante UEFI parece haber sido utilizado desde finales de 2016, mucho antes de que los ataques UEFI comenzaran a describirse públicamente. Este descubrimiento plantea una pregunta final: si esto es lo que los atacantes estaban usando en ese entonces, ¿qué están usando? Este Dia?

Hasta ahora, no parece haber una solución para la vulnerabilidad de CosmicStrand, y es recomendable abstenerse de obtener una placa base Gigabyte y ASUS más antigua basada en un chipset Intel H81 más antiguo. Pero esto nos dice que podría haber aún más variantes de vulnerabilidades relacionadas con el firmware del BIOS, considerando que CosmicStrand ha estado disponible durante algunos años.


Deja un comentario