ESPecter
Scorecard of Threat
Scorecard ohrožení EnigmaSoft
EnigmaSoft Threat Scorecards jsou zprávy o hodnocení různých malwarových hrozeb, které shromáždil a analyzoval náš výzkumný tým. EnigmaSoft Threat Scorecards hodnotí a hodnotí hrozby pomocí několika metrik včetně reálných a potenciálních rizikových faktorů, trendů, frekvence, prevalence a perzistence. EnigmaSoft Threat Scorecards jsou pravidelně aktualizovány na základě našich výzkumných dat a metrik a jsou užitečné pro širokou škálu počítačových uživatelů, od koncových uživatelů hledajících řešení k odstranění malwaru ze svých systémů až po bezpečnostní experty analyzující hrozby.
EnigmaSoft Threat Scorecards zobrazuje řadu užitečných informací, včetně:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Úroveň závažnosti: Určená úroveň závažnosti objektu, vyjádřená číselně, na základě našeho procesu modelování rizik a výzkumu, jak je vysvětleno v našich kritériích hodnocení hrozeb .
Infikované počítače: Počet potvrzených a podezřelých případů konkrétní hrozby zjištěných na infikovaných počítačích podle zprávy SpyHunter.
Viz také Kritéria hodnocení hrozeb .
| Úroveň ohrožení: | 100 % (Vysoký) |
| Infikované počítače: | 1 |
| Poprvé viděn: | October 8, 2021 |
| Naposledy viděn: | October 8, 2021 |
| Ovlivněné OS: | Windows |
Výzkumníci společnosti Infosec konečně zachytili malwarovou hrozbu, která se potenciálně dokázala vyhýbat detekci téměř deset let. Hrozba s názvem ESPecter, kterou objevili odborníci na kybernetickou bezpečnost, je bootkit navržený k načtení nepodepsaných ovladačů na disk ESP (EFI System Partition) infikovaných systémů.
Výzkumníci vystopovali původ hrozby přinejmenším do roku 2012. Během tohoto významného období je nejdrastičtější změnou, kterou malware podstoupil, přechod ze staršího BIOSu a Master Boot Record na jejich nástupce UEFI. Unified Extensible Firmware Interface neboli UEFI je klíčovou součástí, která propojuje firmware stroje s operačním systémem.
Dosud nebyl ESPecter připisován žádnému konkrétnímu aktérovi hrozby kvůli nedostatku dostatečných důkazů. Některé znaky nalezené v komponentách hrozby, jako jsou její ladicí zprávy, naznačují, že její tvůrci jsou čínsky mluvící jednotlivci. Podobně neznámý je v tuto chvíli způsob distribuce použitý při dodávce ESPecter. Aktér ohrožení by mohl používat zranitelnost UEFI zero-day, známou, ale stále neopravenou chybu, nebo může mít fyzický přístup k cílovým počítačům.
Technické údaje
ESPecter se umístí do ESP a stanoví jeho trvalost pomocí opravy aplikované na Windows Boot Manager. Kromě toho oprava poskytuje ESPecter schopnost zcela obejít protokoly Windows Driver Signature Enforcement (DSE) a nahrát do napadeného počítače vlastní nepodepsané ovladače. Hrozba také může vložit další nebezpečné komponenty k navázání spojení s útočníkovým serverem Command-and-Control (C2, C&C).
Výzkumníci objevili na systémech infikovaných ESPecter moduly pro záznam klíčů a krádeže souborů, což naznačuje, že hlavním cílem aktéra hrozby by mohla být kybernetická špionáž a sledování vybraných cílů. ESPecter je také vybaven funkcí pro pořizování libovolných snímků obrazovky a jejich ukládání do skrytého adresáře spolu se shromážděnými protokoly klíčů a dokumenty.
Aby však ESPecter mohl provádět své ohrožující činnosti, potřebuje v systému deaktivovat funkci Secure Boot. Zabezpečené spouštění bylo poprvé představeno jako funkce Windows s vydáním Windows 8, takže všechny dřívější verze operačního systému se automaticky stanou náchylnými k útoku ESPecter. Použití novější verze systému Windows však nestačí. V posledních několika letech se objevilo mnoho zranitelností firmwaru UEFI, které útočníkům umožňují deaktivovat nebo přímo obejít Secure Boot.
