CosmicStrand:洗練されたUEFIファームウェアルートキットの発見 from securelist.com
![](https://banana.bj006.com/wp-content/themes/cocoon-master/screenshot.jpg)
シェルコードをメモリにデプロイし、C2サーバーに接続して、被害者のマシンで実行する実際の悪意のあるペイロードを取得します。
6. Windowsカーネルが実行される前に、CosmicStrandはZwCreateSectionにさらに別のフックを設定します。
その場合、CosmicStrandは実行の制御を再び取得し、悪意のあるコードを実行する前に元のコードを復元します。
これまでに説明したすべての手順は、コード実行をUEFIからWindowsカーネルに伝播する目的にのみ役立ちました。
このコードの類似性に加えて、CosmicStrandによって使用されるハードコードされたフォールバックDNSサーバーがCHINANET-BACKBONE(AS4134)にあるという事実は、攻撃者が中国語を話すネクサスの一部であるという非常に信頼性の低い兆候として認識される可能性があります。
明示的にサポートされていないその他の場合でも、攻撃者は実行されようとしているコードを上書き(および後で復元)することでフックを実現できます。
コメント