AvanzadopapersrootkitsfirmwareUEFIAPT

CosmicStrand: rootkit en firmware UEFI

Análisis del paper de Kaspersky sobre CosmicStrand: rootkit que modificaba el firmware UEFI para sobrevivir reinstalaciones, con una cadena de infección desde firmware hasta userland.

MalwareIntel Research··2 min lectura
Serie: Papers Técnicos — Parte 7

Contexto

En julio de 2022, Kaspersky publicó el análisis de CosmicStrand, un rootkit de firmware UEFI atribuido a un actor de habla china. CosmicStrand destacó por su cadena de infección completa: desde la modificación del firmware hasta la ejecución de payloads en userland de Windows, pasando por hooks en cada capa intermedia.

Contribución técnica

Cadena de infección completa

A diferencia de otros bootkits que se centran en una capa específica, CosmicStrand operaba en toda la cadena de boot:

  1. Firmware UEFI: driver CSMCORE modificado en la imagen de firmware
  2. Boot services: hook en EFI Boot Services para interceptar la carga del kernel
  3. Kernel Windows: parcheaba el kernel en memoria durante la carga
  4. Userland: desplegaba un shellcode que cargaba un payload desde un C2

Cada capa hookeaba la siguiente, creando una cadena ininterrumpida desde firmware hasta aplicación.

Técnica de hooking del kernel

CosmicStrand parcheaba una función del kernel de Windows (archpx64TransferTo64BitApplicationAsm) durante la transición de boot a kernel mode. Esta función se ejecutaba una sola vez durante el arranque, antes de que PatchGuard se activara. El parche insertaba código que se ejecutaba con privilegios de kernel sin ser detectado por KPP.

Persistencia en firmware

El rootkit modificaba el driver CSMCORE (Compatibility Support Module) en la imagen del firmware SPI flash. CSMCORE es parte legítima del firmware UEFI. Al modificar un componente existente en lugar de añadir uno nuevo, la detección era más difícil.

Detección

  • CHIPSEC: comparar hashes de componentes del firmware con los originales del fabricante
  • Volatility: buscar hooks en funciones de transición de boot a kernel
  • Verificación de firmware: comparar imagen actual del SPI flash con imagen clean del fabricante

Relevancia

CosmicStrand demostró que los rootkits de firmware pueden implementar cadenas de infección completas end-to-end. No es un PoC teórico: fue encontrado in-the-wild en máquinas comprometidas reales. La atribución a un actor estatal chino confirma que múltiples estados-nación tienen capacidades de rootkits de firmware (no solo Rusia/APT28 con LoJax).

Veredicto

Paper esencial para entender la evolución de rootkits de firmware post-LoJax. La cadena firmware → boot → kernel → userland es la más completa documentada públicamente. Complementa el análisis de UEFI Bootkits in the Wild como caso de estudio de la sofisticación creciente de amenazas a firmware.

Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.