Các chuyên gia bảo mật của Kaspersky Labs vừa công bố thông tin về một firmware rootkit tên là CosmicStrand, cho rằng đây là tác phẩm của những hacker đến từ Trung Quốc. Cụ thể hơn, các chuyên gia của Kaspersky rootkit này nằm im trong UEFI firmware image của chipset H81, trang bị trong những mẫu bo mạch chủ phổ biến do Asus và Gigabyte sản xuất. H81 thực tế cũng là chipset tồn tại lâu nhất của thời kỳ CPU kiến trúc Haswell của Intel, mãi tới 2020 mới ngưng sản xuất.
Vì firmware UEFI là những dòng code đầu tiên khởi chạy khi bật máy tính, nên những UEFI rootkit như CosmicStrand rất khó gỡ khỏi máy tính nếu so sánh với những dạng mã độc khác. Bản thân UEFI rootkit cũng khó bị phát hiện hơn, từ đó tạo ra cánh cổng cho phép các hacker cài đặt tiếp những mã độc khác vào hệ thống mà chúng nhắm tới.
Khi chipset đã nhiễm UEFI rootkit, cài lại Windows hoặc đổi ổ cứng cũng không giải quyết được gì, vì rootkit này được cài đặt vào một chip nhớ điện tĩnh hàn trên bo mạch chủ. Điều này có nghĩa là, nếu muốn gỡ CosmicStrand chỉ có một cách duy nhất: Sử dụng công cụ đặc biệt để flash lại dữ liệu trong chip nhớ nói trên, trong khi máy tính đang tắt nguồn.
Theo Kaspersky, chỉ có 4 quốc gia ghi nhận hệ thống máy tính chạy HĐH Windows bị nhiễm CosmicStrand: Nga, Trung Quốc, Iran và Việt Nam. Tuy nhiên điều đáng quan ngại là mã độc rootkit nhắm vào UEFI đã được sử dụng kể từ cuối năm 2016, chứng tỏ khả năng UEFI rootkit được ứng dụng nhiều hơn và hiệu quả hơn so với những đánh giá ban đầu. Cần nhớ, ESET hồi năm 2018 là đơn vị đầu tiên phát hiện ra sự tồn tại của dạng mã độc này.
Vì firmware UEFI là những dòng code đầu tiên khởi chạy khi bật máy tính, nên những UEFI rootkit như CosmicStrand rất khó gỡ khỏi máy tính nếu so sánh với những dạng mã độc khác. Bản thân UEFI rootkit cũng khó bị phát hiện hơn, từ đó tạo ra cánh cổng cho phép các hacker cài đặt tiếp những mã độc khác vào hệ thống mà chúng nhắm tới.
Khi chipset đã nhiễm UEFI rootkit, cài lại Windows hoặc đổi ổ cứng cũng không giải quyết được gì, vì rootkit này được cài đặt vào một chip nhớ điện tĩnh hàn trên bo mạch chủ. Điều này có nghĩa là, nếu muốn gỡ CosmicStrand chỉ có một cách duy nhất: Sử dụng công cụ đặc biệt để flash lại dữ liệu trong chip nhớ nói trên, trong khi máy tính đang tắt nguồn.
Theo Kaspersky, chỉ có 4 quốc gia ghi nhận hệ thống máy tính chạy HĐH Windows bị nhiễm CosmicStrand: Nga, Trung Quốc, Iran và Việt Nam. Tuy nhiên điều đáng quan ngại là mã độc rootkit nhắm vào UEFI đã được sử dụng kể từ cuối năm 2016, chứng tỏ khả năng UEFI rootkit được ứng dụng nhiều hơn và hiệu quả hơn so với những đánh giá ban đầu. Cần nhớ, ESET hồi năm 2018 là đơn vị đầu tiên phát hiện ra sự tồn tại của dạng mã độc này.
Quảng cáo
Hồi năm 2017, đơn vị bảo mật Qihoo460 phát hiện ra một phiên bản sơ khai của CosmicStrand. Những năm gần đây các chuyên gia bảo mật trên toàn thế giới bắt đầu phát hiện ra nhiều phiên bản khác như MosaicRegressor, FinSpy, ESpecter và MoonBounce.
Quay trở lại với CosmicStrand, đây là một mã độc tương đối đáng sợ, dù dung lượng chỉ có chưa đầy 100 kB. Cách nó tìm được đường đến với chip UEFI trong bo mạch chủ người dùng như thế nào chưa rõ, nhưng cách vận hành của nó đã được mô tả khá kỹ. Đầu tiên mã độc này tấn công vào quá trình boot bằng cách nhúng những "sets-up hook" vào quy trình khởi động máy, qua đó thêm những tính năng hacker mong muốn để thay đổi Windows kernel loader, trước cả khi quy trình này diễn ra.
Từ đó, những kẻ tấn công có thể cài những 'hook' khác dưới dạng tính năng của Windows kernel, gọi là subsequent boot process. Tính năng này chạy shellcode trong bộ nhớ máy tính, tự động liên lạc với máy chủ điều khiển mã độc này để tải và cài đặt những mã độc khác vào máy tính nhiễm CosmicStrand.
Dù chỉ chưa đầu 100 kB nhưng CosmicStrand còn có khả năng vô hiệu hóa PatchGuard, hay còn gọi là Microsoft Kernel Patch Protection, một tính năng bảo mật cực kỳ quan trọng của Windows. Bản thân cách viết những dòng code của CosmicStrand, theo Kaspersky, cũng có phần tương đồng với botnet MyKings, thứ âm thầm cài phần mềm đào tiền mã hóa vào máy tính bị nhiễm mã độc.
Điều các chuyên gia Kaspersky lo ngại nhất chính là việc CosmicStrand phải 6 năm mới bị phát hiện. Họ cho rằng "những rootkit được phát hiện này là bằng chứng của một điểm mù trong ngành, thứ cần được giải quyết sớm muộn."
Theo Techspot
CHUYÊN MỤC NGHỆ THUẬT LÀM GIÀU BỀN VỮNG
Khóa học Machine Learning cơ bản- Khoa học dữ liệu - AI 
==***==
Khoá học Quản trị Chiến lược Dành cho Lãnh đạo Doanh nghiệp
==***==
Nơi hội tụ Tinh Hoa Tri Thức - Khơi nguồn Sáng tạo
Để tham gia khóa học công nghệ truy cập link: http://thuvien.hocviendaotao.com
Mọi hỗ trợ về công nghệ email: dinhanhtuan68@gmail.com
---
Khóa học Hacker và Marketing từ A-Z trên ZALO!
Khóa học Hacker và Marketing từ A-Z trên Facebook!
Bảo mật và tấn công Website - Hacker mũ trắng
KHÓA HỌC LẬP TRÌNH PYTHON TỪ CƠ BẢN ĐẾN CHUYÊN NGHIỆP 
Khóa học Lập trình Visual Foxpro 9 - Dành cho nhà quản lý và kế toán 
Khóa học hướng dẫn về Moodle chuyên nghiệp và hay Xây dựng hệ thống đào tạo trực tuyến chuyên nghiệp tốt nhất hiện nay. 
Khóa học AutoIt dành cho dân IT và Marketing chuyên nghiệp 
Khoá học Word từ cơ bản tới nâng cao, học nhanh, hiểu sâu 
Khóa học hướng dẫn sử dụng Powerpoint từ đơn giản đến phức tạp HIỆU QUẢ 
Khóa học Thiết kế, quản lý dữ liệu dự án chuyên nghiệp cho doanh nghiệp bằng Bizagi 
Khóa học Phân tích dữ liệu sử dụng Power Query trong Excel 
Khóa học Lập trình WEB bằng PHP từ cơ bản đến nâng cao 
Khóa học Phân tích dữ liệu sử dụng SPSS - Chìa khóa thành công!
Khóa học "Thiết kế bài giảng điện tử", Video, hoạt hình kiếm tiền Youtube bằng phần mềm Camtasia Studio 
Khóa học HƯỚNG DẪN THIẾT KẾ VIDEO CLIP CHO DÂN MARKETING CHUYÊN NGHIỆP 
HƯỚNG DẪN THIẾT KẾ QUẢNG CÁO VÀ ĐỒ HỌA CHUYÊN NGHIỆP VỚI CANVA Hãy tham gia khóa học để trở thành người chuyên nghiệp. Tuyệt HAY!😲👍 
GOOGLE SPREADSHEETS phê không tưởng 
Hãy tham gia khóa học để biết mọi thứ
Khóa học Ba, Mẹ và Bé - Cùng bé lập trình TUYỆT VỜI
Khóa học sử dụng Adobe Presenter-Tạo bài giảng điện tử 
Để thành thạo Wordpress bạn hãy tham gia khóa học 
Khóa học sử dụng Edmodo để dạy và học hiện đại để thành công 
==***== Bảo hiểm nhân thọ - Bảo vệ người trụ cột 
Cập nhật công nghệ từ Youtube tại link: congnghe.hocviendaotao.com
Tham gia nhóm Facebook
Để tham gia khóa học công nghệ truy cập link: http://thuvien.hocviendaotao.com
Mọi hỗ trợ về công nghệ email: dinhanhtuan68@gmail.com
Bảo mật và tấn công Website - Hacker mũ trắng
KHÓA HỌC LẬP TRÌNH PYTHON TỪ CƠ BẢN ĐẾN CHUYÊN NGHIỆP
Khóa học AutoIt dành cho dân IT và Marketing chuyên nghiệp
Khoá học Word từ cơ bản tới nâng cao, học nhanh, hiểu sâu
Khóa học hướng dẫn sử dụng Powerpoint từ đơn giản đến phức tạp HIỆU QUẢ
Khóa học Thiết kế, quản lý dữ liệu dự án chuyên nghiệp cho doanh nghiệp bằng Bizagi
Khóa học Phân tích dữ liệu sử dụng Power Query trong Excel
Khóa học Lập trình WEB bằng PHP từ cơ bản đến nâng cao
Khóa học Phân tích dữ liệu sử dụng SPSS - Chìa khóa thành công!
kiếm tiền Youtube bằng phần mềm Camtasia Studio
Khóa học HƯỚNG DẪN THIẾT KẾ VIDEO CLIP CHO DÂN MARKETING CHUYÊN NGHIỆP
HƯỚNG DẪN THIẾT KẾ QUẢNG CÁO VÀ ĐỒ HỌA CHUYÊN NGHIỆP VỚI CANVA
Hãy tham gia khóa học để trở thành người chuyên nghiệp. Tuyệt HAY!😲👍
GOOGLE SPREADSHEETS phê không tưởng
Hãy tham gia khóa học để biết mọi thứ
Khóa học Ba, Mẹ và Bé - Cùng bé lập trình TUYỆT VỜI
Khóa học sử dụng Adobe Presenter-Tạo bài giảng điện tử
Để thành thạo Wordpress bạn hãy tham gia khóa học
Khóa học sử dụng Edmodo để dạy và học hiện đại để thành công
==***==
Bảo hiểm nhân thọ - Bảo vệ người trụ cột
Tham gia nhóm Facebook
Để tham gia khóa học công nghệ truy cập link: http://thuvien.hocviendaotao.com
Mọi hỗ trợ về công nghệ email: dinhanhtuan68@gmail.com
Nguồn: Tinh Tế