Коммерчески разработанное вредоносное ПО FinFisher теперь может заражать устройства Windows с помощью буткита UEFI, который оно внедряет в диспетчер загрузки Windows.
FinFisher (также известный как FinSpy и Wingbird) — это решение для наблюдения, разработанное Gamma Group, которое также имеет возможности, похожие на вредоносные, которые часто встречаются у шпионских программ.
Его разработчик заявляет, что он продается исключительно государственным органам и правоохранительным органам по всему миру, но фирмы, занимающиеся кибербезопасностью, также обнаружили его во время доставки через целевые фишинговые кампании и инфраструктуру интернет-провайдеров (ISP) .
Мощь уклончивости и настойчивости
« В ходе нашего исследования мы обнаружили UEFI буткитами , что загружал FinSpy. Все машины, зараженные UEFI буткитом имели Boot Manager Windows (Bootmgfw.efi) заменен на вредоносный один» исследователи Kasperksy показали сегодня.
«Этот метод заражения позволил злоумышленникам установить буткит без необходимости обходить проверки безопасности прошивки. Заражения UEFI очень редки и, как правило, трудно выполнить, и они выделяются своей уклончивостью и настойчивостью».
Прошивка UEFI (Unified Extensible Firmware Interface) позволяет использовать очень стойкие вредоносные программы буткитов, поскольку они устанавливаются во флэш-хранилище SPI, припаянном к материнской плате компьютера, что делает невозможным избавление от него путем замены жесткого диска или даже переустановки ОС.
Буткиты — это вредоносный код, внедренный в микропрограммное обеспечение, невидимый для решений безопасности в операционной системе, поскольку он предназначен для загрузки раньше всего остального, на начальном этапе последовательности загрузки устройства.
Они предоставляют злоумышленникам контроль над процессом загрузки операционной системы и позволяют саботировать защиту ОС, минуя механизм безопасной загрузки, в зависимости от режима безопасности загрузки системы (включение мода «полная загрузка» или «полная загрузка» заблокирует вредоносное ПО, поскольку АНБ объясняет).
Публично документированные атаки и вредоносные программы с использованием буткитов в дикой природе встречаются крайне редко — Lojax используется пророссийским APT28 группы хакеров, MosaicRegressor был развернут на китайском языке хакеров, модуль TrickBoot TrickBot в и Мории , которые говорящий на китайском языке актеров угрозы, скорее всего используются для шпионажа с 2018 года.
«Хотя в этом случае злоумышленники не заразили саму прошивку UEFI, но на следующем этапе загрузки, атака была особенно скрытной, так как вредоносный модуль был установлен на отдельном разделе и мог контролировать процесс загрузки зараженной машины», — сказал он. добавили исследователи.
Старые компьютеры, не поддерживающие UEFI, были заражены аналогичным образом через MBR (Master Boot Record) с буткитом, впервые обнаруженным в 2014 году.
Расширенные меры обфускации и антианализа
Для других образцов вредоносного ПО, использованных в атаках, проанализированных «Лабораторией Касперского», разработчики шпионского ПО также использовали четыре уровня обфускации и антианалитических мер, призванных сделать FinFisher одним из «самых трудных для обнаружения шпионских программ на сегодняшний день».
Их усилия были очень эффективными, поскольку образцы вредоносного ПО могли избежать практически любой попытки обнаружения и были практически невозможны для анализа (каждый образец, обнаруженный «Касперским», требовал «огромного» объема работы для расшифровки).
«Объем работы, проделанной для того, чтобы сделать FinFisher недоступным для исследователей безопасности, вызывает особую тревогу и несколько впечатляет», — добавил Игорь Кузнецов, главный исследователь безопасности в группе глобальных исследований и анализа Kaspersky (GReAT).
«Похоже, что разработчики приложили не меньше усилий к мерам обфускации и антианализа, чем к самому троянцу. В результате его способность уклоняться от любого обнаружения и анализа делает это шпионское ПО особенно трудным для отслеживания и обнаружения».
Вы можете найти более подробную информацию и индикаторы компрометации (IOC), связанные с векторами заражения FinFisher для Windows, Linux и macOS, в конце отчета Касперского.
Последнее обновление 05.01.2023
