Руткитът е един от най-опасните видове зловреден софтуер, който може да зарази вашия компютър. През юли 2022 г. Kaspersky откри руткит, който специално е насочен към UEFI фърмуера на дънните платки Gigabyte и Asus с чипсет Intel H81. Този руткит, наречен CosmicStrand, може да бъде сериозна заплаха за вашия компютър, тъй като участниците в Advanced Persistent Threats (ATP) са неговият разработчик.
Те са известни със създаването на смъртоносни заплахи за достъп и контрол на компютри и мрежи. Изненадващо, максималните атаки на CosmicStrand са се случили на местни граждани на Китай, Русия, Виетнам и Иран, вместо на бизнес организации.
Какво е CosmicStrand и какво прави?
CosmicStrand е a руткит, който дава на атакуващите пълен контрол над вашия компютър без да знаеш нищо. Той остава неоткрит от какъвто и да е тип традиционни мерки за сигурност, след като е бил скрито инсталиран на UEFI фърмуер на вашето Windows устройство.
Освен това руткитът CosmicStrand има способността да остане скрит на устройството на жертвата дори след преинсталиране или поправяне на операционната система Windows. Тази способност го прави много опасен и нещо, което не можете да приемете с лека ръка.
Този руткит позволява на атакуващия да прави всичко, което поиска на вашия компютър, включително кражба на чувствителна информация, инсталиране на друг зловреден софтуер и дори превземане на цялата система.
Как се инсталира CosmicStrand на компютри?
Според изследователя при Kaspersky, хакерите успяха да инсталират CosmicStrand на фърмуера на жертвата, като направиха модификации на драйвера CSMCORE DXE. Тази модификация принуждава драйвера да изпълнява серия от кодове при стартиране на системата, което задейства изтеглянето и инсталирането на компонента CosmicStrand.
Чрез изследване на заразените изображения на фърмуера, изследователите откриха, че нападателите са направили модификации в CSMCORE DXE драйвер, като получи предварителен достъп до компютъра на жертвата и презапише фърмуера, за да въведе автоматизирания кръпка. Този автоматичен пачър е отговорен за пренасочването на входната точка на драйвера CSMCORE DXE към злонамерения код, съхранен в RELOC файла на изпълнимия файл.
Как можете да защитите системата си от CosmicStrand и други руткитове?
Най-добрият начин да защитите системата си от CosmicStrand и други руткитове е да инсталирате стабилно решение за сигурност, което може да открие и премахне такива заплахи.
Трябва също така да поддържате вашата операционна система и целия софтуер актуални с най-новите корекции за сигурност. Това ще помогне да се затворят всички вратички, които нападателите могат да използват, за да влязат във вашата система. Ти трябва извършете актуализации на фърмуера и всички други съществени актуализации чрез официални надеждни източници.
Също така е важно да създавате редовни резервни копия на вашите данни, за да можете да възстановите системата си, в случай че бъде заразена с руткит или друг зловреден софтуер.
Освен това би било най-добре да практикувате и основни мерки за сигурност, като например да не щраквате върху непознати връзки или прикачени файлове, да не изтегляте пиратски софтуер или съдържание от ненадеждни уебсайтове и да не споделяте вашата лична информация с някого. Това ще ви помогне предпазете се от атаки чрез социално инженерство.
Трябва ли да се тревожите за ComicStrand?
Към август 2022 г. има много малко случаи на руткит атаки на ComicStrand. Въпреки това, като се има предвид сложността на руткита и способността му да остане скрит, може да видим повече атаки в бъдеще. Също така, досега само конкретни дънни платки от Gigabyte и Asus са в целевия списък на ComicStrand, но е възможно и други производители на дънни платки да са изложени на риск.
Ако имате дънна платка Gigabyte или Asus с чипсет Intel H81, важно е да проверите дали системата ви е заразена и ако откриете руткита, предприемете стъпки за премахването му. Трябва също така да инсталирате надеждно решение за сигурност, за да защитите системата си от подобни заплахи в бъдеще.
Въпреки че руткитът ComicStrand не е широко разпространена заплаха, важно е да сте наясно с него и да предприемете стъпки за защита на вашата система.
