FinSpyスパイウェア: 分析することはほとんど不可能であり、すべてを盗むことができます

Kasperskyのセキュアリストの研究者は、FinSpyとして知られる悪名高い監視ツールセットに関する新しい調査結果を発表しました, FinFisherまたはWingbird.

関連している: 見落とされたパッケージ配信に関する偽のSMSメッセージを介して配信されたFlubotAndroidスパイウェア

FinSpyの機能を詳しく調べる

研究者たちはそれ以来FinSpyの開発を追跡してきました 2011, Windowsの検出率が説明できないほど低下している 2018. これは、チームが正当なアプリケーションの疑わしいインストーラーを検出し始めたときです, 比較的小さな難読化されたダウンローダーでバックドア.

“調査の過程で, バックドアインストーラーは、実際のFinSpyトロイの木馬の前にさらにペイロードをダウンロードしてデプロイするために使用される第1段階のインプラントにすぎないことがわかりました。,” 報告書は指摘しました.

trojanizedインストーラーに加えて, UEFIまたはMBRブートキットに基づく感染も観察されました. 注目に値するのは, MBR感染は少なくとも以来知られていますが 2014, UEFIブートキットの詳細は、SecureListのレポートで初めて公開されます. このレポートは、Windows用のFinSpyインプラントの状態に関してこれまでに見たことのない発見を特徴としています, Linux, と マックOS.

分析されたサンプルは、回避技術の複数の層で保護されています, 感染するデバイスがセキュリティ研究者のものではないことを確認するためにセキュリティチェックを実行する事前検証ツールを含む. 次に、上記のコンポーネントは、C2サーバーからセキュリティシェルコードのホストをダウンロードして実行します。. 各シェルコードは特定のシステムの詳細を収集します, 現在のプロセス名など, サーバーにアップロードし直します. チェックに失敗した場合, C2サーバーは感染プロセスを終了します.

UEFIブートキット感染

研究者は出くわした UEFIブートキット FinSpyをロードしていました. “UEFIブートキットに感染したすべてのマシンにはWindowsブートマネージャーがありました (bootmgfw.efi) 悪意のあるものに置き換えられました. UEFIが実行を悪意のあるローダーに転送するとき, 最初に元のWindowsブートマネージャーを見つけます.

内部に保存されます efi microsoft boot en-us ディレクトリ, 名前は16進文字で構成されています. このディレクトリにはさらに2つのファイルが含まれています: Winlogonインジェクターとトロイの木馬ローダー. どちらもRC4で暗号化されています. 復号化キーはEFIシステムパーティションGUIDです, マシンごとに異なります,” レポートは説明しました.

古いマシンに関しては, UEFIをサポートしていない, MBRを介して感染する可能性があります. ユーザーモードの感染, でも, 最も複雑なもののようです. 攻撃シナリオの手順は次のとおりです:

• 被害者はトロイの木馬化されたアプリケーションをダウンロードして実行します.
• 通常の操作中に、アプリケーションはC2サーバーに接続します, Pre-Validatorと呼ばれる非永続的なコンポーネントをダウンロードして起動します. Pre-Validatorは、被害者のマシンがマルウェア分析に使用されないようにします.
• Pre-Validatorは、C2サーバーからセキュリティシェルコードをダウンロードして実行します. 合計で, それ以上の展開 30 シェルコード. 各シェルコードは特定のシステム情報を収集します (例えば. 現在のプロセス名) サーバーにアップロードし直します.
• チェックに失敗した場合, C2サーバーは感染プロセスを終了します. さもないと, シェルコードの送信を継続します.
• すべてのセキュリティチェックに合格した場合, サーバーは、Post-Validatorと呼ばれるコンポーネントを提供します. これは、犠牲者が意図されたものであることを確認するために使用される可能性が高い永続的なインプラントです. Post-Validatorは、被害者のマシンを特定するための情報を収集します (実行中のプロセス, 最近開いたドキュメント, スクリーンショット) 構成で指定されたC2サーバーに送信します.
• 収集した情報に応じて, C2サーバーは、Post-Validatorに、本格的なトロイの木馬プラットフォームを展開するか、感染を除去するように命令する場合があります。.

macOS / Linux FinSpy Orchestrator

macOS/LinuxオーケストレーターはWindowsオーケストレーターの簡略版のようです, 共有された安全なリスト. これらは、macOSおよびLinuxバージョンで検出されたコンポーネントです。:

• 仮想ファイルシステム (プラグインと構成は別々のファイルに保存されます)
• ProcessWorm (その機能はプラグインに組み込まれています)
• コミュニケーターモジュール (Orchestratorは、追加のモジュールなしでC2サーバーとデータを交換します)
• アプリケーションウォッチャー (Orchestratorは、開始または停止したプロセスをC2サーバーに報告しません)
• オーケストレーターの機能は同じままです: C2サーバーとの情報交換, プラグインへのコマンドのディスパッチと記録ファイルの管理.

FinSpyは、モジュール性の高いスパイウェアです。, たくさんの仕事があります. その背後にある脅威アクターは、セキュリティ研究者がアクセスできないようにするために非常に長い時間を費やしています。. この努力は心配であり、印象的です. 同量の努力が難読化されています, 反分析, トロイの木馬自体.

「このスパイウェアが高精度で展開されており、分析が事実上不可能であるという事実は、その被害者が特に脆弱であることも意味します。, そして研究者は特別な課題に直面しています–すべてのサンプルを解くために圧倒的な量のリソースを投資しなければなりません,」レポートは結論を出しました.

UEFIマルウェアの別の例

一年前, カスペルスキーが発見 新しいUEFI攻撃, 侵害されたUEFIファームウェアイメージに悪意のあるインプラントが含まれている場合. MosaicRegressorと呼ばれるマルウェアフレームワークの一部, 攻撃は犠牲者を北朝鮮との関係で危うくしました 2017 と 2019.

Unified Extensible Firmware Interface (UEFI) コンピュータのファームウェアをオペレーティングシステムに接続するテクノロジです. UEFIの目的は、最終的にレガシーBIOSを置き換えることです. 技術は製造中にインストールされます. これは、コンピューターの起動時に実行される最初のプログラムでもあります。. 不運にも, このテクノロジーは、「非常に持続的な攻撃」において悪意のある攻撃者の標的になっています。,カスペルスキーの研究者が述べたように.