Ein Rootkit ist eine der gefährlichsten Arten von Malware, die Ihren Computer infizieren kann. Im Juli 2022 entdeckte Kaspersky ein Rootkit, das speziell auf die UEFI-Firmware der Gigabyte- und Asus-Motherboards mit Intel H81-Chipsatz abzielt. Dieses Rootkit namens CosmicStrand könnte eine ernsthafte Bedrohung für Ihren Computer darstellen, da Akteure von Advanced Persistent Threats (ATP) seine Entwickler sind.
Sie sind notorisch dafür bekannt, tödliche Bedrohungen für den Zugriff auf und die Kontrolle von Computern und Netzwerken zu schaffen. Überraschenderweise sind die meisten CosmicStrand-Angriffe lokalen Bürgern in China, Russland, Vietnam und dem Iran statt Unternehmensorganisationen passiert.
Was ist CosmicStrand und was bewirkt es?
CosmicStrand ist ein Rootkit, das Angreifern die vollständige Kontrolle über Ihren Computer gibt ohne dass du etwas weißt. Es bleibt von herkömmlichen Sicherheitsmaßnahmen unentdeckt, nachdem es heimlich auf dem installiert wurde UEFI-Firmware Ihres Windows-Geräts.
Abgesehen davon kann das CosmicStrand-Rootkit auch nach einer Neuinstallation oder Reparatur des Windows-Betriebssystems auf dem Gerät des Opfers verborgen bleiben. Diese Fähigkeit macht es sehr gefährlich und etwas, das Sie nicht auf die leichte Schulter nehmen können.
Dieses Rootkit ermöglicht es dem Angreifer, auf Ihrem Computer alles zu tun, was er will, einschließlich des Diebstahls vertraulicher Informationen, der Installation anderer Malware und sogar der Übernahme des gesamten Systems.
Wie wird CosmicStrand auf Computern installiert?
Laut dem Forscher bei Kasperskykonnten die Hacker den CosmicStrand auf der Firmware des Opfers installieren, indem sie Änderungen am CSMCORE DXE-Treiber vornahmen. Diese Änderung zwingt den Treiber, beim Systemstart eine Reihe von Codes auszuführen, die den Download und die Installation der CosmicStrand-Komponente auslösen.
Durch die Untersuchung der infizierten Firmware-Images entdeckten die Forscher, dass die Angreifer Änderungen am CSMCORE vorgenommen haben DXE-Treiber, indem er sich zuvor Zugriff auf den Computer des Opfers verschafft und die Firmware überschreibt, um die Automatisierung einzuführen Patcher. Dieser automatische Patcher ist dafür verantwortlich, den Einstiegspunkt des CSMCORE DXE-Treibers auf den bösartigen Code umzuleiten, der in der RELOC-Datei der ausführbaren Datei gespeichert ist.
Wie können Sie Ihr System vor CosmicStrand und anderen Rootkits schützen?
Der beste Weg, Ihr System vor CosmicStrand und anderen Rootkits zu schützen, ist die Installation einer robusten Sicherheitslösung, die solche Bedrohungen erkennen und entfernen kann.
Sie sollten auch Ihr Betriebssystem und die gesamte Software mit den neuesten Sicherheitspatches auf dem neuesten Stand halten. Dies hilft dabei, Schlupflöcher zu schließen, die Angreifer nutzen können, um in Ihr System einzudringen. Du solltest Firmware-Updates durchführen und alle anderen wichtigen Updates über offizielle, zuverlässige Quellen.
Es ist auch wichtig, regelmäßige Backups Ihrer Daten zu erstellen, damit Sie Ihr System wiederherstellen können, falls es mit einem Rootkit oder einer anderen Malware infiziert wird.
Abgesehen davon wäre es am besten, wenn Sie auch grundlegende Sicherheitsmaßnahmen anwenden, z. B. nicht auf unbekannte Links klicken oder Anhänge, keine Raubkopien oder Inhalte von nicht vertrauenswürdigen Websites herunterladen und Ihre persönlichen Daten nicht weitergeben mit jemanden. Das wird dir helfen Schützen Sie sich vor Social-Engineering-Angriffen.
Sollten Sie sich Sorgen um ComicStrand machen?
Ab August 2022 gibt es nur sehr wenige Fälle von ComicStrand-Rootkit-Angriffen. Angesichts der Raffinesse des Rootkits und seiner Fähigkeit, verborgen zu bleiben, werden wir in Zukunft möglicherweise weitere Angriffe sehen. Auch stehen bisher nur bestimmte Motherboards von Gigabyte und Asus auf der Zielliste des ComicStrand, aber es ist möglich, dass auch andere Motherboard-Hersteller gefährdet sind.
Wenn Sie ein Gigabyte- oder Asus-Motherboard mit einem Intel H81-Chipsatz haben, ist es wichtig zu überprüfen, ob Ihr System infiziert ist, und wenn Sie das Rootkit entdecken, ergreifen Sie Maßnahmen, um es zu entfernen. Sie sollten auch eine zuverlässige Sicherheitslösung installieren, um Ihr System in Zukunft vor solchen Bedrohungen zu schützen.
Obwohl das ComicStrand-Rootkit keine weit verbreitete Bedrohung darstellt, ist es wichtig, sich dessen bewusst zu sein und Maßnahmen zum Schutz Ihres Systems zu ergreifen.