Huis > Cyber ​​Nieuws > FinSpy-spyware: Bijna onmogelijk om te analyseren en in staat om alles te stelen
CYBER NEWS

FinSpy-spyware: Bijna onmogelijk om te analyseren en in staat om alles te stelen

door   |  Last Update:  |  0 Reacties  

finspy spyware

Onderzoekers van Kaspersky's Secure List hebben zojuist nieuwe bevindingen vrijgegeven met betrekking tot de beruchte surveillancetoolset die bekend staat als FinSpy, FinFisher of Wingbird.

Verwant: Flubot Android Spyware bezorgd via valse sms-berichten over gemiste pakketbezorging

Diepere kijk in de mogelijkheden van FinSpy

De onderzoekers volgen de ontwikkeling van FinSpy sinds 2011, met een onverklaarbare afname van de detectiegraad voor Windows in 2018. Dit is het moment waarop het team verdachte installatieprogramma's van legitieme applicaties begon te detecteren, backdoored met een relatief kleine versluierde downloader.

“In de loop van ons onderzoek, we ontdekten dat de backdoor-installatieprogramma's niets meer zijn dan implantaten uit de eerste fase die worden gebruikt om verdere payloads te downloaden en te implementeren vóór de daadwerkelijke FinSpy-trojan,” het verslag wordt opgemerkt.

Naast de trojan-installatieprogramma's, Er werden ook infecties waargenomen op basis van een UEFI- of MBR-bootkit. het is opmerkelijk dat, terwijl de MBR-infectie al sinds ten minste bekend is 2014, details over de UEFI-bootkit worden voor het eerst openbaar gemaakt in het rapport van Secure List. Het rapport bevat bevindingen die nog nooit eerder zijn gezien met betrekking tot de staat van de FinSpy-implantaten voor Windows, Linux, en MacOS.

De geanalyseerde monsters worden beschermd met meerdere lagen ontwijkingstechnieken, inclusief een pre-validator die veiligheidscontroles uitvoert om er zeker van te zijn dat het te besmetten apparaat niet van een beveiligingsonderzoeker is. De genoemde component downloadt vervolgens een groot aantal beveiligings-shellcodes van de C2-server en voert deze uit. Elke shellcode verzamelt specifieke systeemdetails, zoals de huidige procesnaam, en uploadt het terug naar de server. Als een controle mislukt, de C2-server beëindigt het infectieproces.




De UEFI Bootkit-infectie

De onderzoekers kwamen een UEFI-bootkit dat was FinSpy aan het laden. “Alle machines die met de UEFI-bootkit zijn geïnfecteerd, hadden de Windows Boot Manager (bootmgfw.efi) vervangen door een kwaadwillende. Wanneer de UEFI de uitvoering overdraagt ​​aan de kwaadaardige lader, het lokaliseert eerst de originele Windows Boot Manager.

Het wordt opgeslagen in de efi microsoft boot nl-us directory, met de naam bestaande uit hexadecimale tekens. Deze map bevat nog twee bestanden: de Winlogon-injector en de Trojan Loader. Beide zijn gecodeerd met RC4. De decoderingssleutel is de GUID van de EFI-systeempartitie, die verschilt van de ene machine naar de andere,” het rapport legde uit.

Wat betreft oudere machines, die UEFI . niet ondersteunen, ze kunnen worden geïnfecteerd via de MBR. De infectie van de gebruikersmodus, echter, lijkt de meest complexe te zijn. Dit zijn de stappen van het aanvalsscenario::

  • Het slachtoffer downloadt een Trojaanse applicatie en voert deze uit.
  • Tijdens de normale werking maakt de applicatie verbinding met een C2-server, downloads en start vervolgens een niet-permanente component genaamd de Pre-Validator. De Pre-Validator zorgt ervoor dat de slachtoffermachine niet wordt gebruikt voor malware-analyse.
  • De Pre-Validator downloadt Security Shell-codes van de C2-server en voert ze uit. In totaal, het zet meer in dan 30 shellcodes. Elke shellcode verzamelt specifieke systeeminformatie (b.v.. de huidige procesnaam) en uploadt het terug naar de server.
  • Als een controle mislukt, de C2-server beëindigt het infectieproces. Anders, het blijft shellcodes verzenden.
  • Als alle veiligheidscontroles slagen, de server biedt een component die we de Post-Validator noemen. Het is een persistent implantaat dat waarschijnlijk wordt gebruikt om ervoor te zorgen dat het slachtoffer de beoogde persoon is. De Post-Validator verzamelt informatie waarmee hij de slachtoffermachine kan identificeren (lopende processen, recent geopende documenten, screenshots) en stuurt het naar een C2-server gespecificeerd in de configuratie.
  • Afhankelijk van de verzamelde informatie, de C2-server kan de Post-Validator opdracht geven om het volwaardige Trojan-platform in te zetten of de infectie te verwijderen.

macOS/Linux FinSpy Orchestrator

De macOS/Linux Orchestrator lijkt een vereenvoudigde versie van de Windows Orchestrator te zijn, Beveiligde lijst gedeeld. Dit zijn de componenten die zijn ontdekt in de macOS- en Linux-versie:

  • Het virtuele bestandssysteem (plug-ins en configuraties worden in aparte bestanden opgeslagen)
  • De procesworm (de functionaliteit is ingebed in plug-ins)
  • De communicatormodule (de Orchestrator wisselt gegevens uit met C2-servers zonder extra modules)
  • De applicatie-kijker (de Orchestrator rapporteert geen gestarte of gestopte processen aan C2-servers)
  • De functionaliteiten van de Orchestrator blijven hetzelfde: informatie uitwisselen met de C2-server, opdrachten verzenden naar plug-ins en opnamebestanden beheren.




FinSpy is een zeer modulaire spyware, waar veel werk in zit. De dreigingsactoren erachter hebben zich tot het uiterste ingespannen om het ontoegankelijk te maken voor beveiligingsonderzoekers. Deze inspanning is zowel zorgwekkend als indrukwekkend. Er is evenveel moeite gestoken in verduistering, anti-analyse, en de trojan zelf.

“Het feit dat deze spyware met hoge precisie wordt ingezet en praktisch onmogelijk te analyseren is, betekent ook dat de slachtoffers bijzonder kwetsbaar zijn, en onderzoekers staan ​​voor een speciale uitdaging: een overweldigende hoeveelheid middelen moeten investeren in het ontwarren van elk monster,”Concludeerde het rapport.

Nog een voorbeeld van UEFI-malware

Een jaar geleden, Ontdekte Kaspersky een nieuwe UEFI-aanval, waar een gecompromitteerd UEFI-firmwarebeeld een kwaadaardig implantaat bevatte. Onderdeel van een malwareframework genaamd MosaicRegressor, de aanval bracht slachtoffers in gevaar met daartussen banden met Noord-Korea 2017 en 2019.

Unified Extensible Firmware Interface (UEFI) is een technologie die de firmware van een computer verbindt met het besturingssysteem. Het doel van UEFI is om uiteindelijk het oude BIOS te vervangen. De technologie wordt tijdens de fabricage geïnstalleerd. Het is ook het eerste programma dat wordt uitgevoerd wanneer een computer wordt opgestart. Helaas, de technologie is een doelwit geworden van kwaadwillende actoren in "uitzonderlijk aanhoudende aanvallen",”Zoals Kaspersky-onderzoekers het uitdrukten.

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Gerelateerde berichten:
  1. Verwijder Finspy Mac Virus Wat is Finspy Mac? How to eliminate ads coming from...
  2. UEFI Ransomware - Hoe te verwijderen en Bestanden terugzetten Dit artikel is gemaakt om u te helpen bij het verwijderen van Uefi...
  3. Nemesis bootkit Doelen Financiële gegevens, Werkt Buiten Windows Een nieuwe zeldzame techniek, used by a cybercriminal group to...
  4. Nieuw UEFI Malware-onderdeel van Advanced MosaicRegressor Malicious Framework Beveiligingsonderzoekers hebben onlangs een nieuwe UEFI-aanval ontdekt, where a...
  5. UEFI Ransomware laat ons zien wat Future Crypto-Malware zou kunnen uitzien Tijdens de RSA 2017 conferentie werd een demo gedraaid...
  6. malware Trends 2018: Hoe is het Threat Landscape Shaping? 2018 is er al, en het is best sterk begonnen...
  7. oppassen: PseudoManuscrypt Spyware gedistribueerd in illegale software Security researchers detected a new mass malware campaign associated with...
  8. HP-kwetsbaarheden stellen hackers in staat code uit te voeren met kernelrechten (CVE-2021-3808) HP heeft twee zeer ernstige BIOS-kwetsbaarheden in veel van de....

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens