卡巴斯基发现UEFI恶意程序CosmicStrand

　　近日反病毒厂商卡巴斯基的一支安全威胁研究团队发现了名为CosmicStrand的恶意程序。事实上，这款恶意程序并不是新病毒，而是曾在2016-2017年爆发“Spy Shadow”木马的更新版本。目前在华硕和技嘉的固件中发现了这款UEFI恶意程序，即使重新安装Windows系统也无法移除这款UEFI恶意程序。

　　卡巴斯基方面表示，现阶段发现的所有攻击设备都运行在Windows系统之上：每次电脑重启，在Windows重启之后将会执行一段恶意代码。该代码的目的是连接到C2(命令和控制)服务器，并下载额外可执行的恶意程序。

　　CosmicStrand的工作流程包括连续设置钩子，使恶意代码持续到OS启动后。涉及的步骤是： 1. 整个链条的起始是感染固件引导 2. 该恶意软件在启动管理器中设置了恶意钩，允许在执行Windows的内核加载程序之前修改它。 3. 通过篡改OS加载器，攻击者可以在Windows内核的功能中设置另一个钩子。 4. 当后来在OS的正常启动过程中调用该功能时，恶意软件最后一次控制执行流程。 5. 在内存中部署一个壳牌码，并与C2服务器联系以检索实际的恶意有效载荷以在受害者的机器上运行。