ESPecter

До Mezo през Malwareг

Превод на:

Заплаха от злонамерен софтуер, която потенциално е успявала да избегне откриването в продължение на почти десетилетие, най-накрая е уловена от изследователите на infosec. Открита от експерти по киберсигурност, заплахата, наречена ESPecter, е буткит, предназначен да зарежда неподписани драйвери към ESP (EFI System Partition) устройство на заразените системи.

Изследователите проследиха произхода на заплахата поне до 2012 г. През този значителен период най-драстичната промяна, претърпяна от зловредния софтуер, е преминаването от насочване от наследени BIOS и Master Boot Record към техния наследник UEFI. Unified Extensible Firmware Interface или UEFI е важен компонент, който свързва фърмуера на машината с операционната система.

Досега ESPecter не е приписван на конкретен участник в заплахата поради липса на достатъчно доказателства. Някои признаци, открити в компонентите на заплахата, като съобщенията за отстраняване на грешки, предполагат, че създателите й са хора, говорещи китайски. Методът на разпространение, използван при доставката на ESPecter, също е неизвестен в момента. Заплахата може да използва уязвимост на UEFI с нулев ден, известна, но все още непоправена грешка или може да има физически достъп до целевите машини.

Технически подробности

ESPecter се поставя в ESP и установява неговата устойчивост чрез корекция, приложена към Windows Boot Manager. Освен това, корекцията предоставя на ESPecter възможността напълно да заобиколи протоколите за прилагане на подписа на драйвери на Windows (DSE) и да зареди свои собствени неподписани драйвери на компрометираната машина. Заплахата също може да инжектира допълнителни опасни компоненти за установяване на връзка със сървъра за командване и управление (C2, C&C) на нападателя.

Изследователите откриха модули за кейлогиране и кражба на файлове в системите, заразени с ESPecter, което показва, че основната цел на заплахата може да бъде кибершпионаж и наблюдение на избраните цели. Всъщност ESPecter също така е оборудван с функционалността да прави произволни екранни снимки и да ги съхранява в скрита директория, заедно със събраните ключови регистрационни файлове и документи.

Въпреки това, за да изпълнява своите заплашителни дейности, ESPecter се нуждае от функцията Secure Boot на системата да бъде деактивирана. Secure Boot беше представен за първи път като функция на Windows с пускането на Windows 8, така че всички по-ранни версии на операционната система автоматично стават податливи на ESPecter атака. Използването на по-нова версия на Windows обаче не е достатъчно. През последните няколко години се появиха множество уязвимости във фърмуера на UEFI, които позволяват на нападателите да деактивират или направо да заобиколят Secure Boot.