新版本的监控软件FinFisher(又名 FinSpy 或 Wingbird)变种程序已升级为使用UEFI(统一可扩展固件接口)引导包感染 Windows 设备,该引导包利用木马化的 Windows 引导管理器,标志着感染媒介的转变,使其能够逃避安全软件的发现和分析。

根据网络安全行业门户极牛网JIKENB.COM的梳理,FinFisher自 2011 年就在野被发现,是一种适用于 Windows、macOS 和 Linux 的间谍软件工具集,由英德公司 Gamma International 开发,专门提供给执法和情报机构。

FinFisher 能够收集用户凭据、文件列表、敏感文档、记录击键、从 Thunderbird、Outlook、Apple Mail 和 Icedove 中提取电子邮件消息,拦截 Skype 联系人、聊天、通话和传输的文件,并通过获取访问权限捕获音频和视频到机器的麦克风和网络摄像头。

虽然该工具之前是通过被篡改的合法应用程序安装程序(例如 TeamViewer、VLC 和 WinRAR)进行部署的,这些应用程序被一个混淆的下载程序后门,但 2014 年的后续更新通过主引导记录 (MBR) 引导工具包实现感染,目的是注入恶意加载程序以一种旨在绕过安全工具的方式。

要添加的最新功能是能够部署 UEFI 引导套件来加载 FinSpy,新样本展示的特性将 Windows UEFI 引导加载程序替换为恶意变体,并吹嘘四层混淆和其他检测规避方法来减慢逆向工程和分析的速度。

卡巴斯基安全人员称,感染这种方式允许攻击者安装的bootkit无需绕过固件安全检查,UEFI 感染非常罕见,而且通常难以执行,它们因其隐蔽性和持久性而引人注目。

UEFI 是一种固件接口,是对基本输入/输出系统 (BIOS) 的改进,支持安全启动,可确保操作系统的完整性,以确定没有恶意软件干扰启动过程。但是由于 UEFI 促进了操作系统本身的加载,bootkit 感染不仅可以抵抗操作系统重新安装或更换硬盘驱动器,而且对操作系统内运行的安全解决方案也很不起眼。

这使黑客能够控制启动过程,实现持久性并绕过所有安全防御。虽然在这种情况下,攻击者并没有感染 UEFI 固件本身,而是感染了它的下一个启动阶段,但攻击特别隐蔽,因为恶意模块安装在单独的分区上,可以控制受感染机器的启动过程。

举报/反馈

极牛网

1588获赞 271粉丝
网络安全行业媒体门户网站!
华云信安(深圳)科技有限公司
关注
0
0
收藏
分享