إسبكتر
اكتشف باحثو إنفوسك أخيرًا تهديدًا للبرامج الضارة كان من المحتمل أن يكون قادرًا على تجنب اكتشافه لما يقرب من عقد من الزمان. اكتشف خبراء الأمن السيبراني أن التهديد المسمى ESPecter عبارة عن مجموعة تمهيد مصممة لتحميل برامج التشغيل غير الموقعة على محرك الأنظمة المصابة ESP (قسم نظام EFI).
تتبع الباحثون أصول التهديد حتى عام 2012 على الأقل. خلال هذه الفترة المهمة ، كان التغيير الأكثر جذرية الذي مر به البرنامج الضار هو التحول من استهداف BIOS القديم وسجل التمهيد الرئيسي إلى UEFI اللاحق لهما. تعد الواجهة الموحدة للبرامج الثابتة القابلة للتوسيع أو UEFI مكونًا مهمًا يربط البرامج الثابتة للجهاز بنظام التشغيل.
حتى الآن لم يُنسب ESPecter إلى أي جهة تهديد محددة ، بسبب نقص الأدلة الكافية. تشير بعض العلامات الموجودة في مكونات التهديد ، مثل رسائل التصحيح الخاصة به ، إلى أن منشئوه هم أفراد يتحدثون اللغة الصينية. طريقة التوزيع المستخدمة في توصيل ESPecter غير معروفة بالمثل في الوقت الحالي. قد يستخدم المهاجم ثغرة يوم الصفر UEFI ، وهو خطأ معروف ولكن لا يزال غير مصحح ، أو قد يكون لديه وصول مادي إلى الأجهزة المستهدفة.
تفاصيل تقنية
يضع ESPecter نفسه في ESP ويثبت ثباته عبر تصحيح مطبق على Windows Boot Manager. علاوة على ذلك ، يوفر التصحيح ESPecter القدرة على تجاوز بروتوكولات Windows Driver Signature Enforcement (DSE) تمامًا وتحميل برامج التشغيل غير الموقعة الخاصة به على الجهاز المخترق. يمكن للتهديد أيضًا حقن مكونات إضافية غير آمنة لإنشاء اتصال بخادم الأوامر والتحكم (C2، C&C) الخاص بالمهاجم.
اكتشف الباحثون وحدات تدوين المفاتيح وسرقة الملفات على الأنظمة المصابة بـ ESPecter ، مما يشير إلى أن الهدف الرئيسي لممثل التهديد يمكن أن يكون التجسس الإلكتروني ومراقبة الأهداف المختارة. في الواقع ، تم تجهيز ESPecter أيضًا بوظيفة التقاط لقطات شاشة عشوائية وتخزينها في دليل مخفي ، جنبًا إلى جنب مع سجلات المفاتيح والوثائق المجمعة.
ومع ذلك ، لأداء الأنشطة التي تنطوي على تهديد ، يحتاج ESPecter إلى تعطيل ميزة التمهيد الآمن على النظام. تم تقديم التمهيد الآمن لأول مرة كميزة Windows مع إصدار Windows 8 بحيث تصبح جميع الإصدارات السابقة من نظام التشغيل تلقائيًا عرضة لهجوم ESPecter. ومع ذلك ، فإن استخدام إصدار أحدث من Windows ليس كافيًا. ظهرت العديد من نقاط الضعف في برامج UEFI الثابتة في العامين الماضيين والتي تسمح للمهاجمين بتعطيل التمهيد الآمن أو تجاوزه تمامًا.
