H81チップセット上で動作するUEFIルートキットが見つかる 35
ストーリー by nagazou
日本では確認されていない模様 部門より
日本では確認されていない模様 部門より
マザーボードのUEFIを狙ったマルウェアが出回っているという。このマルウェアはルートキット機能を持つことから一般に「UEFIルートキット」と呼ばれているが、Kasperskyの研究者は今回発見したUEFIルートキットに「CosmicStrand」という名称を与えているという(Kaspersky、BleepingComputer、Ars Technica、GIGAZINE)。
マザーボード上のファームウェアに当たるUEFIにマルウェアを仕込まれると特定が困難な上、OSの再インストールやストレージドライブの交換では削除できない。Kasperskyによると、今回発見されたCosmicStrandは、ASUSとGIGABYTE製のH81チップセットを搭載する古いマザーボードから発見されたという。2016年の終わり頃から何年にもわたって運用されてきた形跡があるとしている。その構造から中国語を話すハッキンググループが作成したものである可能性が高いとしている。
マザーボード上のファームウェアに当たるUEFIにマルウェアを仕込まれると特定が困難な上、OSの再インストールやストレージドライブの交換では削除できない。Kasperskyによると、今回発見されたCosmicStrandは、ASUSとGIGABYTE製のH81チップセットを搭載する古いマザーボードから発見されたという。2016年の終わり頃から何年にもわたって運用されてきた形跡があるとしている。その構造から中国語を話すハッキンググループが作成したものである可能性が高いとしている。
消すには (スコア:2)
記事では言及されていないけど、消すにはメーカー提供のUEFI(BIOS)を上書きすればいいのかしら?
OS上から書換が出来るようになっているとイタチごっこだろうから、UEFI上のツールからしか書き換えられないようにするしか無いのかな。
制限できるのかわからないけど。
Re: (スコア:0)
証明証検証突破できる更新が可能なUEFIって時点で大穴な気が
検証突破 (スコア:0)
私が使用していた某自作PC用マザーボードは署名チェックどころかハッシュすら確認していませんでした
大穴どころか壁がそもそも存在していないパターンですね
Re: (スコア:0)
> 消すには
UEFI上で動作するアンチウィルスソフトの登場ですよ(やめて
Re: (スコア:0)
なんか笑い話とかじゃなくいずれガチでそんな感じの流れになりそうな気がしなくもないのがまた…
Re: (スコア:0)
インテル SGX「おれに任せろ!」
Re: (スコア:0)
お前、11世代以降に居ないじゃん。
# リビングに置いて有る4k BD再生用PCを更新できない。レコーダーにBD付いてないし。
Re: (スコア:0)
インテル SGX「おれに任せろ!」
すごい がっかり えくすぺりえんす の略でしたっけ(すっとぼけ
# UHD円盤の普及を殺した故張本人ですからなぁ
Re: (スコア:0)
UHD BDの要求仕様の解決法がSGXなだけで、11世代以降に積まなかった以外の罪は無いと思う。
Re: (スコア:0)
セキュリティを高めてファームウェアの改竄も検知できる優れた保護機能だって売り文句で実装された機能なのに、修正不可能な脆弱性満載でむしろセキュリティを下げるものだったのは罪じゃないですかね
Re: (スコア:0)
マルウェアから保護するどころか、マルウェアをセキュリティーソフトから保護する機能に成り下がったSGXちゃん
不憫
Re: (スコア:0)
前にMcAfeeがIntelの一部だった時にそんな構想ありませんでしたっけ?
1つがUEFIレベルのやつ、もう1つがCPUの仮想化機能ベースのやつ。
後者はいまはMSがWindows 11でやっているんでしたっけ?
Re: (スコア:0)
UEFIを管理起動するためのUEFIBIOSが生まれるかもよ?w
UEFI管理起動するためのUEFIを管理起動するための(略
#普段使うOSは何層目になるのやら
Re: (スコア:0)
マルウェアが書き換え部分を殺してる可能性があり、その場合は直接フラッシュメモリのチップを直接書き換えですね。
デスクトップ向けだと大抵は別体SPI接続なので、書き換えセットを持っていればそれ程難しくはないみたいです。
Re: (スコア:0)
こういう攻防が今後増えると思うから、基板上に書き換え用端子のランドとかおいといてほしい。
連続)書き換え失敗も怖くなくなる。(今すでにあるかは)知らんけど。
奥歯にものが挟まった (スコア:0)
> その構造から中国語を話すハッキンググループが作成したものである可能性が高い
マルウェアなんてソースコードがあるわけじゃなくて、バイナリだけかせいぜい逆アセしたコードだけでしょ。
その状況で制作者が常用する言語が判るもんなんだろうか。
#画面にメッセージを表示するなんてマヌケなことはしないだろうし。
Re: (スコア:0)
製造国が中国だったと云う、構造上からじゃねーの?
Re: (スコア:0)
「中国で製造されたマザーボードに組み込まれていた」と「中国語を話すハッキンググループが作成した」って、全然違うでしょ。
そもそも、全世界のマザーボードの何割が中国で製造されているんだろう。
#台湾も「中国語を話す人々の国」にカウントしたとして。
Re: (スコア:0)
その辺は立場・取引上断言する事を憚ったとか、幾らでも理由は考えられる。
Re: (スコア:0)
マルウェア内に残っていた関数とか変数のシンボルが中国語っぽかったとか、じゃないの?
Re: (スコア:0)
>ただし、CosmicStrandにはソフォスのマルウェアアナリストが中国語のアーティファクトを発見した「MyKings」と呼ばれる暗号化ボットネット上で見られたコードパターンとの類似性が見られるため、CosmicStrandを利用する攻撃者も中国語圏のハッカーであると推察されています。
2021年3月末のチートツールの話題 (スコア:0)
ユーザが望んでUEFIレベルの操作をすることもあるんだから一歩進んでマルウェア化も容易でしょうよ
https://hardware.srad.jp/story/21/03/31/1615239/ [hardware.srad.jp]
ハードウェア・ファームウェア依存になるのもそりゃそうだろうとしか言えない
Re: (スコア:0)
レガシーBIOSで良かったのに。
隙間に入れるのか盲腸ルーチンを潰すのか (スコア:0)
やってることはあれだけど
ファイルシステムかネットワークに横入りするんでしょ?
そんなコードをROMに仕込むなんてまあ凄い技術だこと
その技術をもっとまっとうなとこにつかえばいいのに
と思っても国家権力から資金が出てる可能性もあるか件の国の場合
そりゃ頑張るし止められないかw
いろいろな意味で
Re: (スコア:0)
乱数を0固定にして、Linuxが起動しなくなったとか?
# ねーよ
Re:いや、、、 (スコア:0)
起動時にロゴをバンドルできる機能があるやろ。
あれの発展。
侵入方法 (スコア:0)
Gigazineを見ると
アナリストの報告によると、Spy Shadow Trojanに侵害されたシステムはユーザーがオンラインストアで購入した「中古のASUS製マザーボード」上で動作していたそうです。
とあるから、怪しい店で中古(怪しい店だと新品でもか)マザボを買わないのが一番だと思うけど、
攻撃者がどの手段を用いてCosmicStrandをマザーボードに侵入させているのかは不明です。
ということなので外部から(添付ファイルなりなんなりで)侵入・改変の余地はないとは言い切れないな。
# 両社のH81マザボをサブ機(通常は電源入れていない)で使っているのでAC
Re: (スコア:0)
直接インストールして、中古市場に流すなんて効率の悪い配布方法は選ばないし、拡散不能だろw
強く環境を選ぶものだから、ボットネットの中で動作するマシンを選んで配布されたと考えるのが自然で、中古で買うかどうかなんて関係もない。
Re: (スコア:0)
欲しいパーツ探すのにフリマオークションサイトみていると、
完成品わざわざバラして「単品」にして転売して流通しているだろ「コレ」なんて多いし
「爆速OS」とかわざわざOSまで入れ直して売っているのなんかざらですよ
怪しい日本語も「あるある」あるある
ネトゲのチートツールは? (スコア:0)
ネトゲのチートツールのように、ユーザーが故意に動かすUEFIルートキットとかも存在する
ルートキットだからといって、勝手にインストールされたとは限らない
先日の↓あたりと組み合わせると (スコア:0)
UEFI上のマイクロコードパッチまで変更可能になってもうなんでもありになりそうな気がする
一部Intel製CPUのマイクロコードを抽出可能なソフトウェアが登場
https://hardware.srad.jp/story/22/07/21/1610218/ [hardware.srad.jp]
セキュアブートを有効にしてたら関係ないんでしょ? (スコア:0)
最近のPCはほとんど有効になってるんじゃないのか
Re: (スコア:0)
H81って最近のPCなのかなぁ……?
Re: (スコア:0)
Haswellといってもちょっと前に買ったミニPC(core i7 10510U)よりわずかに性能がいいので、買い替える気になれません。今PCパーツ高いし。
さすがに消費電力ではミニPCの圧勝ですが。
ちなみにアプリを動かさなければ10W程度、ミドルタワーはビデオカードとか組み込んであるのもあるけど同等条件で40W以上。
B85にスキはなかった (スコア:0)
さすがB75の後継者!