搭載 Intel H81 晶片組的部分主機板發現 UEFI rootkit 惡意軟體 @ 台灣電腦網路危機處理暨協調中心-TWCERT/CC

資安廠商 Kaspersky 日前發現，搭載 Intel H81 晶片組的部分主機板產品，其 UEFI 的韌體程式碼中發現一個名為 CosmicStrand 的 rootkit 惡意軟體，且可追溯至 2016 年底。

UEFI（Unified Extensible Firmware Interface）是主機板韌體與作業系統的溝通橋樑，是電腦開啟電源時最先執行的程式碼；執行完此程式碼後，才會載入作業系統與後續的資安防護軟體，因此 UEFI 內的 rootkit 惡意軟體，不只開發難度高，也十分難以偵測移除。

這次由 Kaspersky 資安專家發現的 ComicStrand rootkit 惡意軟體，會修改作業系統載入程序，取得電腦控制權限，並在 Windows 核心中直接執行下載自駭侵控制伺服器的惡意酬載。

資安專家表示，ComicStrand 與另一家資安廠商奇虎 360 在 2017 年發現的另一個 rootkit 惡意軟體十分接近，可以視為該惡意軟體的變種；而 Kaspersky 也指出，發現 CosmicStrand rootkit 的主機板，同樣都採用 Intel H81 晶片組，因此可以推測駭侵者可能利用 Intel H81 晶片組內的一個漏洞，來進行 CosmicStrand 的開發與布署。

Kaspersky 也指出，目前發現含有此 rootkit 的主機板，均為 2013 至 2015 間生產的舊品，目前早已停產。

Kaspersky 指出，目前尚難以發現駭侵者是用什麼手法在主機板中注入 CosmicStrand rootkit，因為必須進行裝置實體操作，才能在韌體中注入惡意軟體；目前推測是駭侵者散布含有惡意程式碼的韌體更新程式，來進行 CosmicStrand 的散布。

建議進行任何軟硬體的系統更新時，切勿使用來路不明的更新工具；請務必自產品官方網站或內建更新機制進行更新，以免感染此類惡意軟體。

主機板製造廠商也建議：
1、客戶購買二手主機板，立即上網下載最新的官方 BIOS image 更新。若無法更新或提示型號不對，可送鄰近維修點辨認處理。
2、若需要硬體層級的保護，可採用具有 Intel Boot Guard 或 Intel Platform Firmware Resilience 功能的主機板，並啟動 UEFI Secure Boot 功能確保 trust chain，能抵擋 ROM 元件被更換或直接燒錄的攻擊。