Zuhause > Cyber ​​Aktuelles > FinSpy-Spyware: Fast unmöglich zu analysieren und in der Lage, alles zu stehlen
CYBER NEWS

FinSpy-Spyware: Fast unmöglich zu analysieren und in der Lage, alles zu stehlen

finspy Spyware

Die Forscher der Secure List von Kaspersky haben gerade neue Erkenntnisse über das berüchtigte Überwachungstoolset namens FinSpy . veröffentlicht, FinFisher oder Wingbird.

verbunden: Flubot Android Spyware über gefälschte SMS-Nachrichten über versäumte Paketzustellung

Tieferer Einblick in die Fähigkeiten von FinSpy

Die Forscher verfolgen die Entwicklung von FinSpy seit 2011, mit einem unerklärlichen Rückgang der Erkennungsrate für Windows in 2018. Zu diesem Zeitpunkt begann das Team, verdächtige Installer legitimer Anwendungen zu entdecken, Backdoored mit einem relativ kleinen verschleierten Downloader.

“Im Laufe unserer Untersuchung, Wir haben herausgefunden, dass die Backdoor-Installationsprogramme nichts anderes sind als Implantate der ersten Stufe, die zum Herunterladen und Bereitstellen weiterer Nutzlasten vor dem eigentlichen FinSpy-Trojaner verwendet werden,” Der Bericht stellte fest.

Zusätzlich zu den trojanisierten Installern, Auch Infektionen auf Basis eines UEFI- oder MBR-Bootkits wurden beobachtet. Es ist bemerkenswert, dass, während die MBR-Infektion seit mindestens bekannt ist 2014, Details zum UEFI-Bootkit werden im Bericht von Secure List erstmals öffentlich bekannt gegeben. Der Bericht enthält noch nie dagewesene Ergebnisse zum Zustand der FinSpy-Implantate für Windows, Linux, und Mac OS.

Die analysierten Proben werden mit mehreren Schichten von Umgehungstechniken geschützt, einschließlich eines Pre-Validators, der Sicherheitsprüfungen durchführt, um sicherzustellen, dass das zu infizierende Gerät keinem Sicherheitsforscher gehört. Die besagte Komponente lädt dann eine Vielzahl von Sicherheits-Shellcodes vom C2-Server herunter und führt sie aus. Jeder Shellcode sammelt spezifische Systemdetails, wie der aktuelle Prozessname, und lädt es zurück auf den Server. Falls eine Prüfung fehlschlägt, der C2-Server beendet den Infektionsprozess.




Die UEFI Bootkit-Infektion

Die Forscher stießen auf ein UEFI-Bootkit das hat FinSpy geladen. “Alle mit dem UEFI-Bootkit infizierten Maschinen hatten den Windows Boot Manager (Bootmgfw.efi) durch einen bösartigen ersetzt. Wenn das UEFI die Ausführung an den bösartigen Loader überträgt, es sucht zuerst den ursprünglichen Windows Boot Manager.

Es wird im efi microsoft boot en-us Verzeichnis, wobei der Name aus hexadezimalen Zeichen besteht. Dieses Verzeichnis enthält zwei weitere Dateien: der Winlogon Injector und der Trojan Loader. Beide sind mit RC4 . verschlüsselt. Der Entschlüsselungsschlüssel ist die GUID der EFI-Systempartition, was von Maschine zu Maschine unterschiedlich ist,” der Bericht erklärt.

Was ältere Maschinen angeht, die UEFI nicht unterstützen, sie können über den MBR . infiziert werden. Die Infektion im Benutzermodus, jedoch, scheint am komplexesten zu sein. Hier sind die Schritte des Angriffsszenarios:

  • Das Opfer lädt eine trojanisierte Anwendung herunter und führt sie aus.
  • Während des normalen Betriebs verbindet sich die Anwendung mit einem C2-Server, herunterlädt und dann eine nicht persistente Komponente namens Pre-Validator . startet. Der Pre-Validator stellt sicher, dass der Opfercomputer nicht für Malware-Analysen verwendet wird.
  • Der Pre-Validator lädt Security Shellcodes vom C2-Server herunter und führt sie aus. In Summe, es setzt mehr ein als 30 Shellcodes. Jeder Shellcode sammelt spezifische Systeminformationen (z.B.. der aktuelle Prozessname) und lädt es zurück auf den Server.
  • Falls eine Prüfung fehlschlägt, der C2-Server beendet den Infektionsprozess. Sonst, es sendet weiterhin Shellcodes.
  • Wenn alle Sicherheitskontrollen bestehen, der Server stellt eine Komponente bereit, die wir Post-Validator nennen. Es ist ein dauerhaftes Implantat, das wahrscheinlich verwendet wird, um sicherzustellen, dass das Opfer das beabsichtigte ist. Der Post-Validator sammelt Informationen, die es ihm ermöglichen, den Opfercomputer zu identifizieren (Laufende Prozesse, kürzlich geöffnete Dokumente, Screenshots) und sendet es an einen C2-Server, der in seiner Konfiguration angegeben ist.
  • Abhängig von den gesammelten Informationen, der C2-Server kann dem Post-Validator befehlen, die vollwertige Trojaner-Plattform bereitzustellen oder die Infektion zu entfernen.

macOS/Linux FinSpy Orchestrator

Der macOS/Linux Orchestrator scheint eine vereinfachte Version des Windows Orchestrator zu sein, Sichere Liste geteilt. Dies sind die Komponenten, die in der macOS- und Linux-Version entdeckt wurden:

  • Das virtuelle Dateisystem (Plugins und Konfigurationen werden in separaten Dateien gespeichert)
  • Der Prozesswurm (seine Funktionalität ist in Plugins eingebettet)
  • Das Kommunikationsmodul (der Orchestrator tauscht ohne zusätzliche Module Daten mit C2-Servern aus)
  • Der Anwendungsbeobachter (der Orchestrator meldet gestartete oder gestoppte Prozesse nicht an C2-Server)
  • Die Funktionalitäten des Orchestrator bleiben gleich: Austausch von Informationen mit dem C2-Server, Senden von Befehlen an Plugins und Verwalten von Aufnahmedateien.




FinSpy ist eine hochmodulare Spyware, da steckt viel arbeit drin. Die dahinter stehenden Bedrohungsakteure haben extreme Anstrengungen unternommen, um sie für Sicherheitsforscher unzugänglich zu machen. Dieser Aufwand ist besorgniserregend und beeindruckend. Der gleiche Aufwand wurde in die Verschleierung gesteckt, anti-Analyse, und der Trojaner selbst.

„Die Tatsache, dass diese Spyware mit hoher Präzision eingesetzt wird und praktisch nicht analysiert werden kann, bedeutet auch, dass ihre Opfer besonders anfällig sind.“, und Forscher stehen vor einer besonderen Herausforderung – sie müssen überwältigende Ressourcen investieren, um jede einzelne Probe zu entwirren,Der Bericht schloss.

Ein weiteres Beispiel für UEFI-Malware

Vor einem Jahr, Kaspersky entdeckte ein neuer UEFI-Angriff, wo ein kompromittiertes UEFI-Firmware-Image ein böswilliges Implantat enthielt. Teil eines Malware-Frameworks namens MosaicRegressor, Der Angriff gefährdete die Opfer mit Verbindungen zu Nordkorea zwischen 2017 und 2019.

Unified Extensible Firmware Interface (UEFI) ist eine Technologie, die die Firmware eines Computers mit seinem Betriebssystem verbindet. Der Zweck von UEFI besteht darin, das ältere BIOS zu ersetzen. Die Technologie wird während der Herstellung installiert. Es ist auch das erste Programm, das ausgeführt wird, wenn ein Computer gestartet wird. Leider, Die Technologie ist zum Ziel böswilliger Akteure bei „außergewöhnlich hartnäckigen Angriffen“ geworden,”Wie Kaspersky-Forscher es ausdrückten.

Milena Dimitrova

Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim

Mehr Beiträge

Folge mir:
Zwitschern

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Diese Website verwendet Cookies, um die Benutzererfahrung zu verbessern. Durch die Nutzung unserer Website erklären Sie sich mit allen Cookies gemäß unserer Datenschutz-Bestimmungen.
Genau