Et nytt oppstartssett for å utføre skjult cyberspionage som kan kompromittere systempartisjoner er oppdaget.
Forskere fra ESET sier at den nye skadelige programvaren, kalt ESPecter, først ble funnet nylig, men opprinnelsen til bootkiten er sporet tilbake til 2012 – noe som tyder på at programvaren er skjult nok til å ha unngått oppdagelse av cybersikkerhetsteam for den beste delen av et tiår.
“Vi sporet røttene til denne trusselen tilbake til minst 2012; den fungerte tidligere som en oppstartssett for systemer med eldre BIOSer,” kommenterte ESET -forsker Anton Cherepanov. “Til tross for ESPecters lange eksistens, gikk driften og oppgraderingen til UEFI ubemerket og har ikke blitt dokumentert før nå.”
Den eneste radikale endringen i skadelig programvare siden 2012 er et skifte fra eldre BIOS og Master Boot Record (MBR) infiltrasjon til moderne UEFI. UEFI er en kritisk komponent i pre-OS-fasen på en maskin som starter og har en hånd i å laste inn et operativsystem.
Skadelig programvare slår rot i EFI System Partition (ESP) og vedvarer gjennom en oppdatering som brukes på Windows Boot Manager, men dette er ennå ikke fullstendig analysert.
Lappen gjør at ESPecter kan omgå Windows Driver Signature Enforcement (DSE) -protokoller for å laste sine egne usignerte drivere på en målmaskin og injisere andre komponenter for å opprette en forbindelse til operatørens kommando-og-kontroll (C2) server.
ESET fant en ESPecter-prøve på en PC sammen med keylogging og dokumentstjelende funksjonalitetsmoduler, en indikator på at skadelig programvare sannsynligvis blir brukt til overvåkingsformål.
Når den er utført på en målmaskin, kan ESPecter distribuere en bakdør som inneholder kommandoer for nettspionering, og ved siden av viktige logger og dokumenter tar den ondsinnede koden også skjermdumper med jevne mellomrom og skjuler dette innholdet i en skjult katalog.
Imidlertid må Secure Boot -funksjonen deaktiveres for et vellykket ESPecter -angrep.
“Det er verdt å nevne at den første Windows -versjonen som støtter Secure Boot var Windows 8, noe som betyr at alle tidligere versjoner er sårbare for denne utholdenhetsmetoden,” sier teamet.
Forskerne har ikke funnet konkrete bevis for attribusjon, men det er ledetråder i skadelig programvare-komponenter-spesielt feilsøkingsmeldinger-som tyder på at trusselaktørene er kinesisktalende.
Det er heller ikke kjent hvordan ESPecter distribueres; Imidlertid er det en rekke potensielle scenarier: en angriper har fysisk tilgang til en målmaskin, Secure Boot har allerede blitt deaktivert, eller utnyttelse av enten en null-dagers UEFI-feil eller en kjent, men upatchet, sikkerhetsfeil i eldre programvare .
“Selv om Secure Boot står i veien for å utføre upålitelige UEFI -binarier fra ESP, har vi de siste årene vært vitne til ulike UEFI -firmwaresårbarheter som påvirker tusenvis av enheter som gjør det mulig å deaktivere eller omgå Secure Boot,” sier ESET. “Dette viser at sikring av UEFI -fastvare er en utfordrende oppgave, og at måten ulike leverandører anvender sikkerhetspolicyer og bruker UEFI -tjenester på ikke alltid er ideell.”
Tidligere og relatert dekning
Kinesisk hackergruppe oppdaget ved hjelp av en UEFI -bootkit i naturen
FinSpy -overvåkingsprogramvare sprer seg nå gjennom UEFI -bootkits
Nytt Moriya rootkit stealthily bakdører Windows -systemer
Har du et tips? Ta kontakt trygt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Sikkerhet TV Datahåndtering CXO datasentre 