卡巴斯基研究人员发现了一个由高级持续性威胁（APT）行为者开发的rootkit，即使重新启动操作系统或重新安装Windows，该rootkit也会保留在受害者的计算机上，从长远来看，这是非常危险的。这种被称为“CosmicStrand”的UEFI固件rootkit主要用于攻击中国的个人用户，在越南、伊朗和俄罗斯也有少量的案例。

UEFI固件是绝大多数硬件中的一个关键组件。它的代码负责启动设备，启动加载操作系统的软件组件。如果UEFI固件以某种方式被修改为包含恶意代码，则该代码将在操作系统之前启动，使得其行为可以对安全解决方案以及操作系统的防御不可见。这一点，以及固件驻留在与硬盘驱动器分开的芯片上这一事实，是的针对UEFI的攻击非常具有隐蔽性和持续性——因为无论重装多少次操作系统，恶意软件仍会留在设备上。

卡巴斯基研究人员最近发现的被称为CosmicStrand的UEFI固件rootkit可以溯源到一个之前未知的说中文的APT行为者。虽然攻击者的最终目标尚不清楚，但据观察，受影响的受害者主要是个人用户，而不是企业计算机。

所有被攻击的机器都是基于Windows的：每次重启计算机，Windows启动后都会执行一段恶意代码。其目的是连接到一个C2（命令和控制）服务器并下载一个额外的恶意可执行文件。

研究人员无法确定rootkit最初是如何出现在受感染的机器上的，但网上发现的未经证实的说法表明，一些用户在网上订购硬件组件时收到了被感染的设备。

CosmicStrand最引人注目的一点是，这种UEFI植入物似乎从2016年底就开始在野外使用——早在UEFI攻击开始被公开描述之前。

“尽管最近才被发现，但CosmicStrand UEFI固件rootkit似乎已经被部署了相当长的时间。这表明一些威胁行为者拥有非常先进的能力，他们设法让这种威胁不被发现。我们不禁要问，在此期间，他们还创造了哪些我们尚未发现的新工具，”卡巴斯基全球研究与分析团队（GReAT）高级安全研究员Ivan Kwiatkowski评论说。

对CosmicStrand框架及其组件的更详细的分析，请参阅Securelist。

为了抵御诸如CosmicStrand之类的威胁，卡巴斯基建议：

为您的SOC团队提供对最新威胁情报（TI）的访问。卡巴斯基威胁情报门户网站是卡巴斯基威胁情报的一站式访问点，提供卡巴斯基超过20年来收集的网络攻击数据以及见解。

请部署EDR解决方案，以实现端点级别的检测、调查和快速事件修复功能，例如卡巴斯基端点检测和响应。

为您的员工提供基本的网络安全卫生知识培训，因为许多有针对性的攻击都是从网络钓鱼或其他社会工程技术开始的。

使用一款能够检测固件使用的强大端点安全产品，例如卡巴斯基网络安全解决方案。

定期更新您的UEFI固件，并且仅使用受信任的供应商提供的固件。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务，为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合，包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务，全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己，我们还帮助全球250,000家企业客户保护最重要的东西。