Onderzoekers van Kaspersky's Secure List hebben zojuist nieuwe bevindingen vrijgegeven met betrekking tot de beruchte surveillancetoolset die bekend staat als FinSpy, FinFisher of Wingbird.
Verwant: Flubot Android Spyware bezorgd via valse sms-berichten over gemiste pakketbezorging
Diepere kijk in de mogelijkheden van FinSpy
De onderzoekers volgen de ontwikkeling van FinSpy sinds 2011, met een onverklaarbare afname van de detectiegraad voor Windows in 2018. Dit is het moment waarop het team verdachte installatieprogramma's van legitieme applicaties begon te detecteren, backdoored met een relatief kleine versluierde downloader.
“In de loop van ons onderzoek, we ontdekten dat de backdoor-installatieprogramma's niets meer zijn dan implantaten uit de eerste fase die worden gebruikt om verdere payloads te downloaden en te implementeren vóór de daadwerkelijke FinSpy-trojan,” het verslag wordt opgemerkt.
Naast de trojan-installatieprogramma's, Er werden ook infecties waargenomen op basis van een UEFI- of MBR-bootkit. het is opmerkelijk dat, terwijl de MBR-infectie al sinds ten minste bekend is 2014, details over de UEFI-bootkit worden voor het eerst openbaar gemaakt in het rapport van Secure List. Het rapport bevat bevindingen die nog nooit eerder zijn gezien met betrekking tot de staat van de FinSpy-implantaten voor Windows, Linux, en MacOS.
De geanalyseerde monsters worden beschermd met meerdere lagen ontwijkingstechnieken, inclusief een pre-validator die veiligheidscontroles uitvoert om er zeker van te zijn dat het te besmetten apparaat niet van een beveiligingsonderzoeker is. De genoemde component downloadt vervolgens een groot aantal beveiligings-shellcodes van de C2-server en voert deze uit. Elke shellcode verzamelt specifieke systeemdetails, zoals de huidige procesnaam, en uploadt het terug naar de server. Als een controle mislukt, de C2-server beëindigt het infectieproces.
De UEFI Bootkit-infectie
De onderzoekers kwamen een UEFI-bootkit dat was FinSpy aan het laden. “Alle machines die met de UEFI-bootkit zijn geïnfecteerd, hadden de Windows Boot Manager (bootmgfw.efi) vervangen door een kwaadwillende. Wanneer de UEFI de uitvoering overdraagt aan de kwaadaardige lader, het lokaliseert eerst de originele Windows Boot Manager.
Het wordt opgeslagen in de efi microsoft boot nl-us directory, met de naam bestaande uit hexadecimale tekens. Deze map bevat nog twee bestanden: de Winlogon-injector en de Trojan Loader. Beide zijn gecodeerd met RC4. De decoderingssleutel is de GUID van de EFI-systeempartitie, die verschilt van de ene machine naar de andere,” het rapport legde uit.
Wat betreft oudere machines, die UEFI . niet ondersteunen, ze kunnen worden geïnfecteerd via de MBR. De infectie van de gebruikersmodus, echter, lijkt de meest complexe te zijn. Dit zijn de stappen van het aanvalsscenario::
- Het slachtoffer downloadt een Trojaanse applicatie en voert deze uit.
- Tijdens de normale werking maakt de applicatie verbinding met een C2-server, downloads en start vervolgens een niet-permanente component genaamd de Pre-Validator. De Pre-Validator zorgt ervoor dat de slachtoffermachine niet wordt gebruikt voor malware-analyse.
- De Pre-Validator downloadt Security Shell-codes van de C2-server en voert ze uit. In totaal, het zet meer in dan 30 shellcodes. Elke shellcode verzamelt specifieke systeeminformatie (b.v.. de huidige procesnaam) en uploadt het terug naar de server.
- Als een controle mislukt, de C2-server beëindigt het infectieproces. Anders, het blijft shellcodes verzenden.
- Als alle veiligheidscontroles slagen, de server biedt een component die we de Post-Validator noemen. Het is een persistent implantaat dat waarschijnlijk wordt gebruikt om ervoor te zorgen dat het slachtoffer de beoogde persoon is. De Post-Validator verzamelt informatie waarmee hij de slachtoffermachine kan identificeren (lopende processen, recent geopende documenten, screenshots) en stuurt het naar een C2-server gespecificeerd in de configuratie.
- Afhankelijk van de verzamelde informatie, de C2-server kan de Post-Validator opdracht geven om het volwaardige Trojan-platform in te zetten of de infectie te verwijderen.
macOS/Linux FinSpy Orchestrator
De macOS/Linux Orchestrator lijkt een vereenvoudigde versie van de Windows Orchestrator te zijn, Beveiligde lijst gedeeld. Dit zijn de componenten die zijn ontdekt in de macOS- en Linux-versie:
- Het virtuele bestandssysteem (plug-ins en configuraties worden in aparte bestanden opgeslagen)
- De procesworm (de functionaliteit is ingebed in plug-ins)
- De communicatormodule (de Orchestrator wisselt gegevens uit met C2-servers zonder extra modules)
- De applicatie-kijker (de Orchestrator rapporteert geen gestarte of gestopte processen aan C2-servers)
- De functionaliteiten van de Orchestrator blijven hetzelfde: informatie uitwisselen met de C2-server, opdrachten verzenden naar plug-ins en opnamebestanden beheren.
FinSpy is een zeer modulaire spyware, waar veel werk in zit. De dreigingsactoren erachter hebben zich tot het uiterste ingespannen om het ontoegankelijk te maken voor beveiligingsonderzoekers. Deze inspanning is zowel zorgwekkend als indrukwekkend. Er is evenveel moeite gestoken in verduistering, anti-analyse, en de trojan zelf.
“Het feit dat deze spyware met hoge precisie wordt ingezet en praktisch onmogelijk te analyseren is, betekent ook dat de slachtoffers bijzonder kwetsbaar zijn, en onderzoekers staan voor een speciale uitdaging: een overweldigende hoeveelheid middelen moeten investeren in het ontwarren van elk monster,”Concludeerde het rapport.
Nog een voorbeeld van UEFI-malware
Een jaar geleden, Ontdekte Kaspersky een nieuwe UEFI-aanval, waar een gecompromitteerd UEFI-firmwarebeeld een kwaadaardig implantaat bevatte. Onderdeel van een malwareframework genaamd MosaicRegressor, de aanval bracht slachtoffers in gevaar met daartussen banden met Noord-Korea 2017 en 2019.
Unified Extensible Firmware Interface (UEFI) is een technologie die de firmware van een computer verbindt met het besturingssysteem. Het doel van UEFI is om uiteindelijk het oude BIOS te vervangen. De technologie wordt tijdens de fabricage geïnstalleerd. Het is ook het eerste programma dat wordt uitgevoerd wanneer een computer wordt opgestart. Helaas, de technologie is een doelwit geworden van kwaadwillende actoren in "uitzonderlijk aanhoudende aanvallen",”Zoals Kaspersky-onderzoekers het uitdrukten.