Les chercheurs de la Secure List de Kaspersky viennent de publier de nouvelles découvertes concernant le tristement célèbre ensemble d'outils de surveillance connu sous le nom de FinSpy, FinFisher ou Wingbird.
en relation: Flubot Android Spyware livré via de faux SMS concernant la livraison de colis manquée
Examen plus approfondi des capacités de FinSpy
Les chercheurs suivent le développement de FinSpy depuis 2011, avec une baisse inexplicable de son taux de détection pour Windows en 2018. C'est à ce moment que l'équipe a commencé à détecter les installateurs suspects d'applications légitimes, backdoor avec un téléchargeur obscurci relativement petit.
“Au cours de notre enquête, nous avons découvert que les installateurs dérobés ne sont rien de plus que des implants de première étape qui sont utilisés pour télécharger et déployer d'autres charges utiles avant le véritable cheval de Troie FinSpy,” le rapport note.
En plus des installateurs trojanisés, des infections basées sur un bootkit UEFI ou MBR ont également été observées. Il est à noter que, alors que l'infection MBR est connue depuis au moins 2014, les détails sur le bootkit UEFI sont révélés publiquement dans le rapport de Secure List pour la première fois. Le rapport présente des résultats jamais vus auparavant concernant l'état des implants FinSpy pour Windows, Linux, et macOS.
Les échantillons analysés sont protégés par plusieurs couches de techniques d'évasion, y compris un pré-validateur qui exécute des contrôles de sécurité pour s'assurer que l'appareil à infecter n'appartient pas à un chercheur en sécurité. Ledit composant télécharge ensuite une multitude de shellcodes de sécurité depuis le serveur C2 et les exécute. Chaque shellcode rassemble des détails système spécifiques, comme le nom du processus actuel, et le télécharge sur le serveur. En cas d'échec d'un contrôle, le serveur C2 met fin au processus d'infection.
L'infection du kit de démarrage UEFI
Les chercheurs sont tombés sur un Kit de démarrage UEFI qui chargeait FinSpy. “Toutes les machines infectées par le bootkit UEFI avaient le gestionnaire de démarrage Windows (Bootmgfw.efi) remplacé par un malveillant. Lorsque l'UEFI transfère l'exécution au chargeur malveillant, il localise d'abord le gestionnaire de démarrage Windows d'origine.
Il est stocké à l'intérieur du efimicrosoftbooten-us annuaire, avec le nom composé de caractères hexadécimaux. Ce répertoire contient deux autres fichiers: l'injecteur Winlogon et le chargeur de chevaux de Troie. Les deux sont cryptés avec RC4. La clé de déchiffrement est le GUID de la partition système EFI, qui diffère d'une machine à l'autre,” le rapport a expliqué.
Quant aux machines plus anciennes, qui ne prennent pas en charge UEFI, ils peuvent être infectés par le MBR. L'infection en mode utilisateur, cependant, semble être le plus complexe. Voici les étapes du scénario d'attaque:
- La victime télécharge une application cheval de Troie et l'exécute.
- Au cours de son fonctionnement normal, l'application se connecte à un serveur C2, télécharge puis lance un composant non persistant appelé le pré-validateur. Le pré-validateur garantit que la machine victime n'est pas utilisée pour l'analyse des logiciels malveillants.
- Le pré-validateur télécharge les Security Shellcodes du serveur C2 et les exécute. Au total, il déploie plus de 30 shellcodes. Chaque shellcode collecte des informations système spécifiques (e.g. le nom du processus actuel) et le télécharge sur le serveur.
- En cas d'échec d'un contrôle, le serveur C2 met fin au processus d'infection. Autrement, il continue d'envoyer des shellcodes.
- Si tous les contrôles de sécurité réussissent, le serveur fournit un composant que nous appelons le Post-Validator. Il s'agit d'un implant persistant probablement utilisé pour s'assurer que la victime est la victime visée. Le Post-Validator collecte des informations qui lui permettent d'identifier la machine victime (processus en cours d'exécution, documents récemment ouverts, captures d'écran) et l'envoie à un serveur C2 spécifié dans sa configuration.
- En fonction des informations recueillies, le serveur C2 peut ordonner au post-validateur de déployer la plate-forme cheval de Troie à part entière ou de supprimer l'infection.
MacOS/Linux FinSpy Orchestrator
L'orchestrateur macOS/Linux semble être une version simplifiée de l'orchestrateur Windows, Liste sécurisée partagée. Ce sont les composants découverts dans la version macOS et Linux:
- Le système de fichiers virtuel (les plugins et les configurations sont stockés dans des fichiers séparés)
- Le ver de processus (sa fonctionnalité est intégrée dans des plugins)
- Le module de communication (l'orchestrateur échange des données avec les serveurs C2 sans modules supplémentaires)
- L'observateur d'applications (l'orchestrateur ne signale pas les processus démarrés ou arrêtés aux serveurs C2)
- Les fonctionnalités de l'orchestrateur restent les mêmes: échange d'informations avec le serveur C2, envoi de commandes aux plugins et gestion des fichiers d'enregistrement.
FinSpy est un logiciel espion hautement modulaire, qui a beaucoup de travail à faire. Les acteurs de la menace qui se cachent derrière ont fait des efforts extrêmes pour le rendre inaccessible aux chercheurs en sécurité. Cet effort est à la fois inquiétant et impressionnant. La même quantité d'efforts a été mise dans l'obscurcissement, anti-analyse, et le cheval de Troie lui-même.
« Le fait que ce logiciel espion soit déployé avec une grande précision et qu'il soit pratiquement impossible à analyser signifie également que ses victimes sont particulièrement vulnérables., et les chercheurs sont confrontés à un défi particulier : devoir investir une quantité écrasante de ressources pour démêler chaque échantillon,»Le rapport conclut.
Un autre exemple de malware UEFI
Il y a un an, Kaspersky découvert une nouvelle attaque UEFI, où une image de micrologiciel UEFI compromise contenait un implant malveillant. Partie d'un framework de malware appelé MosaicRegressor, l'attaque a compromis les victimes ayant des liens avec la Corée du Nord entre 2017 et 2019.
Unified Extensible Firmware Interface (UEFI) est une technologie qui connecte le micrologiciel d’un ordinateur à son système d’exploitation. Le but de l'UEFI est de remplacer à terme le BIOS hérité. La technologie est installée lors de la fabrication. C'est également le premier programme en cours d'exécution lorsqu'un ordinateur est démarré. Malheureusement, la technologie est devenue la cible d'acteurs malveillants dans « des attaques exceptionnellement persistantes,»Comme l'ont dit les chercheurs de Kaspersky.