A rootkit a rosszindulatú programok egyik legveszélyesebb típusa, amely megfertőzheti számítógépét. 2022 júliusában a Kaspersky felfedezett egy rootkitet, amely kifejezetten az Intel H81 lapkakészlettel rendelkező Gigabyte és Asus alaplapok UEFI firmware-jét célozza meg. Ez a CosmicStrand nevű rootkit komoly veszélyt jelenthet számítógépére, mivel az Advanced Persistent Threats (ATP) szereplői a fejlesztők.

Köztudottan arról híresek, hogy halálos fenyegetéseket hoznak létre a számítógépek és hálózatok elérésére és vezérlésére. Meglepő módon a legtöbb CosmicStrand támadás kínai, oroszországi, vietnami és iráni helyi polgárokkal történt üzleti szervezetek helyett.

Mi az a CosmicStrand, és mit csinál?

A CosmicStrand egy rootkitet, amely teljes irányítást biztosít a támadók számára a számítógép felett anélkül, hogy bármit is tudna. A készülékre való lopakodás után semmilyen hagyományos biztonsági intézkedés nem észleli UEFI firmware a Windows-eszközén.

Ezen kívül a CosmicStrand rootkit képes rejtve maradni az áldozat eszközén még a Windows operációs rendszer újratelepítése vagy javítása után is. Ez a képesség nagyon veszélyessé teszi, és olyasmit, amit nem lehet félvállról venni.

Ez a rootkit lehetővé teszi a támadó számára, hogy bármit megtegyen a számítógépén, beleértve az érzékeny információk ellopását, más rosszindulatú programok telepítését, és akár a teljes rendszer átvételét is.

Hogyan telepíthető a CosmicStrand számítógépekre?

A kutató szerint a Kaspersky, a hackerek a CSMCORE DXE illesztőprogram módosításával telepíthették a CosmicStrandet az áldozat firmware-ére. Ez a módosítás arra kényszeríti az illesztőprogramot, hogy egy sor kódot futtasson a rendszerindításkor, amely elindítja a CosmicStrand összetevő letöltését és telepítését.

A fertőzött firmware-képek vizsgálatával a kutatók felfedezték, hogy a támadók módosították a CSMCORE-t. DXE illesztőprogramot úgy, hogy előzetes hozzáférést kap az áldozat számítógépéhez, és felülírja a firmware-t az automatizált bevezetéshez foltozó. Ez az automatikus javítóprogram felelős azért, hogy a CSMCORE DXE illesztőprogram belépési pontját a végrehajtható fájl RELOC fájljában tárolt rosszindulatú kódhoz irányítsa.

Hogyan védheti meg rendszerét a CosmicStrand és más rootkitek ellen?

A rendszer CosmicStrand és más rootkitek elleni védelmének legjobb módja egy robusztus biztonsági megoldás telepítése, amely képes észlelni és eltávolítani az ilyen fenyegetéseket.

Ezenkívül az operációs rendszert és az összes szoftvert naprakészen kell tartania a legújabb biztonsági javításokkal. Ez segít bezárni azokat a kiskapukat, amelyek segítségével a támadók bejuthatnak a rendszerbe. Neked kellene végezze el a firmware-frissítéseket és minden egyéb lényeges frissítés hivatalos, megbízható forrásokból.

Az is elengedhetetlen, hogy rendszeres biztonsági másolatot készítsenek adatairól, hogy visszaállíthassák a rendszert, ha rootkittel vagy bármilyen más rosszindulatú programmal megfertőződne.

Ettől eltekintve az lenne a legjobb, ha az alapvető biztonsági intézkedéseket is gyakorolná, mint például, hogy ne kattintson az ismeretlen hivatkozásokra, ill mellékleteket, ne töltsön le kalózszoftvert vagy tartalmat nem megbízható webhelyekről, és ne ossza meg személyes adatait valakivel. Ez segíteni fog neked megvédheti magát a social engineering támadásoktól.

Kell-e aggódnod a ComicStrand miatt?

2022 augusztusa óta nagyon kevés ComicStrand rootkit támadás történt. Tekintettel azonban a rootkit kifinomultságára és arra, hogy rejtve marad, több támadást láthatunk a jövőben. Emellett egyelőre csak a Gigabyte és az Asus bizonyos alaplapjai szerepelnek a ComicStrand céllistáján, de elképzelhető, hogy más alaplapgyártók is veszélyben vannak.

Ha Intel H81 lapkakészlettel rendelkező Gigabyte vagy Asus alaplapja van, feltétlenül ellenőrizze, hogy a rendszere nem fertőzött-e, és ha észleli a rootkitet, tegyen lépéseket annak eltávolítására. Ezenkívül telepítenie kell egy megbízható biztonsági megoldást, amely megvédi rendszerét az ilyen fenyegetésektől a jövőben.

Bár a ComicStrand rootkit nem jelent széles körben elterjedt fenyegetést, elengedhetetlen, hogy tisztában legyünk vele, és lépéseket tegyünk a rendszer védelme érdekében.