パスワードを忘れた? アカウント作成
15746447 story
セキュリティ

H81チップセット上で動作するUEFIルートキットが見つかる 35

ストーリー by nagazou
日本では確認されていない模様 部門より
マザーボードのUEFIを狙ったマルウェアが出回っているという。このマルウェアはルートキット機能を持つことから一般に「UEFIルートキット」と呼ばれているが、Kasperskyの研究者は今回発見したUEFIルートキットに「CosmicStrand」という名称を与えているという(KasperskyBleepingComputerArs TechnicaGIGAZINE)。

マザーボード上のファームウェアに当たるUEFIにマルウェアを仕込まれると特定が困難な上、OSの再インストールやストレージドライブの交換では削除できない。Kasperskyによると、今回発見されたCosmicStrandは、ASUSとGIGABYTE製のH81チップセットを搭載する古いマザーボードから発見されたという。2016年の終わり頃から何年にもわたって運用されてきた形跡があるとしている。その構造から中国語を話すハッキンググループが作成したものである可能性が高いとしている。
  • by machrider (49063) on 2022年08月01日 16時08分 (#4299769) 日記

    記事では言及されていないけど、消すにはメーカー提供のUEFI(BIOS)を上書きすればいいのかしら?
    OS上から書換が出来るようになっているとイタチごっこだろうから、UEFI上のツールからしか書き換えられないようにするしか無いのかな。
    制限できるのかわからないけど。

    ここに返信
    • by Anonymous Coward

      証明証検証突破できる更新が可能なUEFIって時点で大穴な気が

      • by Anonymous Coward

        私が使用していた某自作PC用マザーボードは署名チェックどころかハッシュすら確認していませんでした
        大穴どころか壁がそもそも存在していないパターンですね

    • by Anonymous Coward

      > 消すには
       
      UEFI上で動作するアンチウィルスソフトの登場ですよ(やめて

      • by Anonymous Coward

        なんか笑い話とかじゃなくいずれガチでそんな感じの流れになりそうな気がしなくもないのがまた…

      • by Anonymous Coward

        インテル SGX「おれに任せろ!」

        • by Anonymous Coward

          お前、11世代以降に居ないじゃん。

          # リビングに置いて有る4k BD再生用PCを更新できない。レコーダーにBD付いてないし。

        • by Anonymous Coward

          インテル SGX「おれに任せろ!」

          すごい がっかり えくすぺりえんす の略でしたっけ(すっとぼけ

          # UHD円盤の普及を殺した故張本人ですからなぁ

          • by Anonymous Coward

            UHD BDの要求仕様の解決法がSGXなだけで、11世代以降に積まなかった以外の罪は無いと思う。

            • by Anonymous Coward

              セキュリティを高めてファームウェアの改竄も検知できる優れた保護機能だって売り文句で実装された機能なのに、修正不可能な脆弱性満載でむしろセキュリティを下げるものだったのは罪じゃないですかね

              • by Anonymous Coward

                マルウェアから保護するどころか、マルウェアをセキュリティーソフトから保護する機能に成り下がったSGXちゃん
                不憫

      • by Anonymous Coward

        前にMcAfeeがIntelの一部だった時にそんな構想ありませんでしたっけ?
        1つがUEFIレベルのやつ、もう1つがCPUの仮想化機能ベースのやつ。
        後者はいまはMSがWindows 11でやっているんでしたっけ?

      • by Anonymous Coward

        UEFIを管理起動するためのUEFIBIOSが生まれるかもよ?w
        UEFI管理起動するためのUEFIを管理起動するための(略
        #普段使うOSは何層目になるのやら

    • by Anonymous Coward

      マルウェアが書き換え部分を殺してる可能性があり、その場合は直接フラッシュメモリのチップを直接書き換えですね。
      デスクトップ向けだと大抵は別体SPI接続なので、書き換えセットを持っていればそれ程難しくはないみたいです。

      • by Anonymous Coward

        こういう攻防が今後増えると思うから、基板上に書き換え用端子のランドとかおいといてほしい。
        連続)書き換え失敗も怖くなくなる。(今すでにあるかは)知らんけど。

  • by Anonymous Coward on 2022年08月01日 16時13分 (#4299772)

    > その構造から中国語を話すハッキンググループが作成したものである可能性が高い
    マルウェアなんてソースコードがあるわけじゃなくて、バイナリだけかせいぜい逆アセしたコードだけでしょ。
    その状況で制作者が常用する言語が判るもんなんだろうか。
    #画面にメッセージを表示するなんてマヌケなことはしないだろうし。

    ここに返信
    • by Anonymous Coward

      製造国が中国だったと云う、構造上からじゃねーの?

      • by Anonymous Coward

        「中国で製造されたマザーボードに組み込まれていた」と「中国語を話すハッキンググループが作成した」って、全然違うでしょ。
        そもそも、全世界のマザーボードの何割が中国で製造されているんだろう。
        #台湾も「中国語を話す人々の国」にカウントしたとして。

        • by Anonymous Coward

          その辺は立場・取引上断言する事を憚ったとか、幾らでも理由は考えられる。

    • by Anonymous Coward

      マルウェア内に残っていた関数とか変数のシンボルが中国語っぽかったとか、じゃないの?

    • by Anonymous Coward

      >ただし、CosmicStrandにはソフォスのマルウェアアナリストが中国語のアーティファクトを発見した「MyKings」と呼ばれる暗号化ボットネット上で見られたコードパターンとの類似性が見られるため、CosmicStrandを利用する攻撃者も中国語圏のハッカーであると推察されています。

  • by Anonymous Coward on 2022年08月01日 17時15分 (#4299813)

    ユーザが望んでUEFIレベルの操作をすることもあるんだから一歩進んでマルウェア化も容易でしょうよ
    https://hardware.srad.jp/story/21/03/31/1615239/ [hardware.srad.jp]

    ハードウェア・ファームウェア依存になるのもそりゃそうだろうとしか言えない

    ここに返信
    • by Anonymous Coward

      レガシーBIOSで良かったのに。

  • by Anonymous Coward on 2022年08月01日 20時01分 (#4299901)

    やってることはあれだけど
    ファイルシステムかネットワークに横入りするんでしょ?
    そんなコードをROMに仕込むなんてまあ凄い技術だこと
    その技術をもっとまっとうなとこにつかえばいいのに
    と思っても国家権力から資金が出てる可能性もあるか件の国の場合
    そりゃ頑張るし止められないかw
    いろいろな意味で

    ここに返信
    • by Anonymous Coward

      乱数を0固定にして、Linuxが起動しなくなったとか?
      # ねーよ

    • by Anonymous Coward

      起動時にロゴをバンドルできる機能があるやろ。
      あれの発展。

  • by Anonymous Coward on 2022年08月01日 23時11分 (#4299961)

    Gigazineを見ると

    アナリストの報告によると、Spy Shadow Trojanに侵害されたシステムはユーザーがオンラインストアで購入した「中古のASUS製マザーボード」上で動作していたそうです。

    とあるから、怪しい店で中古(怪しい店だと新品でもか)マザボを買わないのが一番だと思うけど、

    攻撃者がどの手段を用いてCosmicStrandをマザーボードに侵入させているのかは不明です。

    ということなので外部から(添付ファイルなりなんなりで)侵入・改変の余地はないとは言い切れないな。

    # 両社のH81マザボをサブ機(通常は電源入れていない)で使っているのでAC

    ここに返信
    • by Anonymous Coward

      直接インストールして、中古市場に流すなんて効率の悪い配布方法は選ばないし、拡散不能だろw
      強く環境を選ぶものだから、ボットネットの中で動作するマシンを選んで配布されたと考えるのが自然で、中古で買うかどうかなんて関係もない。

      • by Anonymous Coward

        欲しいパーツ探すのにフリマオークションサイトみていると、
        完成品わざわざバラして「単品」にして転売して流通しているだろ「コレ」なんて多いし
        「爆速OS」とかわざわざOSまで入れ直して売っているのなんかざらですよ
        怪しい日本語も「あるある」あるある

  • by Anonymous Coward on 2022年08月01日 23時29分 (#4299965)

    ネトゲのチートツールのように、ユーザーが故意に動かすUEFIルートキットとかも存在する
    ルートキットだからといって、勝手にインストールされたとは限らない

    ここに返信
  • by Anonymous Coward on 2022年08月02日 5時40分 (#4300014)

    UEFI上のマイクロコードパッチまで変更可能になってもうなんでもありになりそうな気がする
    一部Intel製CPUのマイクロコードを抽出可能なソフトウェアが登場
    https://hardware.srad.jp/story/22/07/21/1610218/ [hardware.srad.jp]

    ここに返信
  • 最近のPCはほとんど有効になってるんじゃないのか

    ここに返信
    • by Anonymous Coward

      H81って最近のPCなのかなぁ……?

      • by Anonymous Coward
        今使っているPC(自作ミドルタワー)がH97のHaswellですけど、これでさえWindows11に切り捨てられていますからねぇ。

        Haswellといってもちょっと前に買ったミニPC(core i7 10510U)よりわずかに性能がいいので、買い替える気になれません。今PCパーツ高いし。
        さすがに消費電力ではミニPCの圧勝ですが。
        ちなみにアプリを動かさなければ10W程度、ミドルタワーはビデオカードとか組み込んであるのもあるけど同等条件で40W以上。
  • by Anonymous Coward on 2022年08月02日 17時25分 (#4300447)

    さすがB75の後継者!

    ここに返信
typodupeerror

身近な人の偉大さは半減する -- あるアレゲ人

読み込み中...