Hjem > Cyber ​​Nyheder > FinSpy Spyware: Næsten umuligt at analysere og i stand til at stjæle alt
CYBER NEWS

FinSpy Spyware: Næsten umuligt at analysere og i stand til at stjæle alt

finspy spyware

Kasperskys Secure List -forskere har netop frigivet nye fund vedrørende det berygtede overvågningsværktøjssæt kendt som FinSpy, FinFisher eller Wingbird.

Relaterede: Flubot Android Spyware Leveret via falske SMS-beskeder om levering af manglende pakke

Dybere kig på FinSpys muligheder

Forskerne har siden fulgt FinSpys udvikling 2011, med et uforklarligt fald i dets detektionshastighed for Windows in 2018. Det var da teamet begyndte at opdage mistænkelige installatører af legitime applikationer, bagdør med en relativt lille uklar downloader.

“I løbet af vores undersøgelse, vi fandt ud af, at de bagdørs installatører ikke er andet end første fase implantater, der bruges til at downloade og implementere yderligere nyttelast før den faktiske FinSpy Trojan,” rapporten bemærkede.

Ud over de trojaniserede installatører, infektioner baseret på et UEFI- eller MBR -bootkit blev også observeret. Det er bemærkelsesværdigt, at, mens MBR -infektionen har været kendt siden mindst 2014, detaljer om UEFI bootkit afsløres offentligt i Secure Lists rapport for første gang. Rapporten indeholder fund, der aldrig er set før vedrørende FinSpy -implantaters tilstand til Windows, Linux, og MacOS.

De analyserede prøver er beskyttet med flere lag af unddragelsesteknikker, herunder en forhåndsvaliderer, der kører sikkerhedskontrol for at sikre, at enheden, der skal inficeres, ikke tilhører en sikkerhedsforsker. Den nævnte komponent downloader derefter et væld af sikkerhedskalcoder fra C2 -serveren og udfører dem. Hver shellcode samler specifikke systemoplysninger, f.eks. det aktuelle procesnavn, og uploader det tilbage til serveren. I tilfælde af at en check mislykkes, C2 -serveren afslutter infektionsprocessen.




UEFI Bootkit -infektion

Forskerne stødte på en UEFI bootkit der var ved at indlæse FinSpy. “Alle maskiner inficeret med UEFI bootkit havde Windows Boot Manager (bootmgfw.efi) erstattet med en ondsindet. Når UEFI overfører eksekvering til den ondsindede læsser, den finder først den originale Windows Boot Manager.

Det opbevares inde i efi microsoft boot en-us Vejviser, med navnet bestående af hexadecimale tegn. Denne mappe indeholder yderligere to filer: Winlogon Injector og Trojan Loader. Begge er krypteret med RC4. Dekrypteringsnøglen er EFI systempartition GUID, som adskiller sig fra en maskine til en anden,” rapporten forklaret.

Hvad angår ældre maskiner, som ikke understøtter UEFI, de kan blive inficeret via MBR. User mode infektion, dog, synes at være den mest komplekse. Her er trinene i angrebsscenariet:

  • Offeret downloader en trojaniseret applikation og udfører den.
  • Under det normale driftsforløb opretter programmet forbindelse til en C2 -server, downloader og lancerer derefter en ikke-vedholdende komponent kaldet Pre-Validator. Pre-Validator sikrer, at offermaskinen ikke bruges til malware-analyse.
  • Pre-Validator downloader Security Shellcodes fra C2-serveren og udfører dem. I alt, det anvender mere end 30 skalkoder. Hver shellcode indsamler specifikke systemoplysninger (f.eks. det aktuelle procesnavn) og uploader det tilbage til serveren.
  • I tilfælde af at en check mislykkes, C2 -serveren afslutter infektionsprocessen. Ellers, det fortsætter med at sende shellcodes.
  • Hvis alle sikkerhedskontroller passerer, serveren leverer en komponent, som vi kalder Post-Validator. Det er et vedvarende implantat, der sandsynligvis bruges til at sikre, at offeret er det tilsigtede. Postvalidatoren indsamler oplysninger, der gør det muligt at identificere offermaskinen (kørende processer, nyligt åbnede dokumenter, skærmbilleder) og sender den til en C2 -server, der er angivet i dens konfiguration.
  • Afhængigt af de indsamlede oplysninger, C2-serveren kan kommandere Post-Validator til at implementere den fuldstændige trojanske platform eller fjerne infektionen.

macOS/Linux FinSpy Orchestrator

MacOS/Linux orchestrator ser ud til at være en forenklet version af Windows orchestrator, Sikker liste delt. Dette er de komponenter, der er opdaget i macOS- og Linux -versionen:

  • Det virtuelle filsystem (plugins og konfigurationer gemmes i separate filer)
  • ProcessWorm (dens funktionalitet er integreret i plugins)
  • Kommunikatormodulet (Orchestrator udveksler data med C2 -servere uden yderligere moduler)
  • Ansøgningsvagten (Orchestrator rapporterer ikke startede eller stoppede processer til C2 -servere)
  • Orkestratorens funktioner forbliver de samme: udveksling af oplysninger med C2 -serveren, afsendelse af kommandoer til plugins og håndtering af optagelsesfiler.




FinSpy er en stærkt modulær spyware, der har lagt meget arbejde i. Trusselsaktørerne bag er gået ekstremt langt for at gøre det utilgængeligt for sikkerhedsforskere. Denne indsats er både bekymrende og imponerende. Lige mange kræfter er blevet lagt i tilsløret, anti-analyse, og selve trojaneren.

“Det faktum, at denne spyware er implementeret med høj præcision og praktisk talt umuligt at analysere, betyder også, at dens ofre er særligt sårbare, og forskere står over for en særlig udfordring - at skulle investere en overvældende mængde ressourcer i at afvikle hver enkelt prøve,”Konkluderede rapporten.

Et andet eksempel på UEFI Malware

For et år siden, Kaspersky opdaget et nyt UEFI -angreb, hvor et kompromitteret UEFI-firmwarebillede indeholdt et ondsindet implantat. En del af en malware-ramme kaldet MosaicRegressor, angrebet kompromitterede ofre med bånd til Nordkorea mellem 2017 og 2019.

Unified Extensible Firmware Interface (UEFI) er en teknologi, der forbinder en computers firmware til dens operativsystem. Formålet med UEFI er til sidst at erstatte den ældre BIOS. Teknologien installeres under fremstillingen. Det er også det første program, der kører, når en computer startes. Desværre, teknologien er blevet et mål for ondsindede aktører i “usædvanligt vedholdende angreb,”Som forskere fra Kaspersky udtrykte det.

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig