UEFI

Perangkat lunak Unified Extensible Firmware Interface (UEFI) adalah yang menghubungkan sistem operasi komputer dengan firmware perangkat keras yang mendasarinya.

Awal mulanya UEFI muncul pada pertengahan tahun 1990an dimulai dari hadirnya standar EFI yang ada pada komputer server.

Saat itu yang sudah menggunakan firmware EFI adalah perusahaan Intel dan HP.

Kemudian seiring berjalannya waktu sistem EFI mengalami perkembangan agar bisa digunakan pada semua komputer, tidak terbatas pada komputer server saja.

Hasilnya lahirlah sistem baru UEFI atau EFI V2.X, tetapi lebih banyak yang menyebutnya dengan UEFI.

Saat ini UEFI sudah mulai banyak digunakan pada komputer dan laptop generasi terbaru.

Karena saat ini hardware komputer sudah lebih canggih dan BIOS sudah tidak bisa mendukung lagi, terutama pada penggunaan hardisk yang lebih besar dari 2 terabyte.

UEFI hadir untuk mengatasi permasalahan BIOS yang sudah ketinggalan zaman, berikut kelebihan yang dimiliki UEFI.

• UEFI memiliki komunikasi yang lebih baik dengan hardware dan firmware dibandingkan dengan BIOS. Contoh saja UEFI tidak lagi memerlukan boot sector pada hardisk, bisa menggunakan mouse dan keyboard untuk interface.
• UEFI bisa custom program sehingga produsen hardware bisa menambahkan aplikasi dan driver di dalamnya, jadi sudah tidak perlu lagi CD driver seperti yang ada pada komputer BIOS.
• Tampilan UEFI lebih menarik dan modern dibandingkan BIOS.
• Bisa menggunakan mouse dan keyboard untuk inputnya.
• Security UEFI lebih kuat jika dibandingkan dengan BIOS
• UEFI mendukung kapasitas hardisk lebih dari 2,2 TB, jadi lebih aman untuk Anda yang suka menyimpan file pada hardisk.
• UEFI memiliki waktu startup yang lebih cepat.
• Proses resume dari hibernate yang lebih cepat.
• UEFI mendukung driver perangkat 64 bit.
• Saat ini UEFI bisa menjalankan BIOS, jadi untuk hardware lama masih bisa tetap berjalan normal.

Perangkat lunak Unified Extensible Firmware Interface (UEFI) adalah yang menghubungkan sistem operasi komputer dengan firmware perangkat keras yang mendasarinya.

Kode UEFI adalah yang pertama dijalankan selama urutan boot komputer, mendahului sistem operasi dan solusi keamanan yang tersedia.

Malware yang ditanam dalam gambar firmware UEFI tidak hanya sulit untuk diidentifikasi tetapi juga sangat persisten karena tidak dapat dihapus dengan menginstal ulang sistem operasi atau dengan mengganti drive penyimpanan.

Sebuah laporan dari Kaspersky hari ini memberikan rincian teknis tentang CosmicStrand, dari komponen UEFI yang terinfeksi hingga menerapkan implan tingkat kernel ke dalam sistem Windows di setiap boot.

Seluruh proses terdiri dari menyiapkan kait untuk memodifikasi pemuat sistem operasi dan mengendalikan seluruh aliran eksekusi untuk meluncurkan shellcode yang mengambil muatan dari server perintah dan kontrol.

Mark Lechtik, mantan insinyur balik Kaspersky, sekarang di Mandiant, yang terlibat dalam penelitian, menjelaskan bahwa gambar firmware yang dikompromikan datang dengan driver CSMCORE DXE yang dimodifikasi, yang memungkinkan proses boot lama.

"Driver ini telah dimodifikasi untuk mencegat urutan boot dan memasukkan logika jahat ke dalamnya," kata Lechtik dalam sebuah tweet pada hari Senin.

Sementara varian CosmicStrand yang ditemukan Kaspersky lebih baru, para peneliti di Qihoo360 mengungkapkan pada tahun 2017 detail pertama tentang versi awal malware.

Para peneliti Cina harus menganalisis implan setelah korban melaporkan bahwa komputer mereka telah membuat akun baru secara tiba-tiba dan perangkat lunak antivirus terus memperingatkan infeksi malware.

Menurut laporan mereka, sistem yang disusupi berjalan pada motherboard ASUS bekas yang dibeli pemiliknya dari toko online.

Kaspersky dapat menentukan bahwa rootkit CosmicStrand UEFI dimasukkan ke dalam gambar firmware motherboard Gigabyte atau ASUS yang memiliki desain yang sama menggunakan chipset H81.

Ini mengacu pada perangkat keras lama antara 2013 hingga 2015 yang sebagian besar dihentikan saat ini.

Tidak jelas bagaimana implan ditempatkan pada komputer yang terinfeksi karena prosesnya akan melibatkan akses fisik ke perangkat atau melalui malware pendahulu yang mampu secara otomatis menambal gambar firmware.

Korban yang diidentifikasi oleh Kaspersky juga memberikan sedikit petunjuk tentang pelaku ancaman dan tujuan mereka karena sistem yang terinfeksi yang teridentifikasi milik individu pribadi di China, Iran, Vietnam, dan Rusia yang tidak dapat dikaitkan dengan organisasi atau industri.

Namun, para peneliti menghubungkan CosmicStrand ke aktor berbahasa Mandarin berdasarkan pola kode yang juga terlihat di botnet cryptomining MyKings, tempat analis malware di Sophos menemukan artefak berbahasa Mandarin.

Kaspersky mengatakan bahwa rootkit firmware CosmicStrand UEFI dapat bertahan di sistem selama masa pakai komputer dan telah digunakan dalam operasi selama bertahun-tahun, sejak akhir 2016.

• Perbedaan UEFI dan Legacy

• bleepingcomputer.com
• qwords.com