ESPecter

Výzkumníci společnosti Infosec konečně zachytili malwarovou hrozbu, která se potenciálně dokázala vyhýbat detekci téměř deset let. Hrozba s názvem ESPecter, kterou objevili odborníci na kybernetickou bezpečnost, je bootkit navržený k načtení nepodepsaných ovladačů na disk ESP (EFI System Partition) infikovaných systémů.

Výzkumníci vystopovali původ hrozby přinejmenším do roku 2012. Během tohoto významného období je nejdrastičtější změnou, kterou malware podstoupil, přechod ze staršího BIOSu a Master Boot Record na jejich nástupce UEFI. Unified Extensible Firmware Interface neboli UEFI je klíčovou součástí, která propojuje firmware stroje s operačním systémem.

Dosud nebyl ESPecter připisován žádnému konkrétnímu aktérovi hrozby kvůli nedostatku dostatečných důkazů. Některé znaky nalezené v komponentách hrozby, jako jsou její ladicí zprávy, naznačují, že její tvůrci jsou čínsky mluvící jednotlivci. Podobně neznámý je v tuto chvíli způsob distribuce použitý při dodávce ESPecter. Aktér ohrožení by mohl používat zranitelnost UEFI zero-day, známou, ale stále neopravenou chybu, nebo může mít fyzický přístup k cílovým počítačům.

Technické údaje

ESPecter se umístí do ESP a stanoví jeho trvalost pomocí opravy aplikované na Windows Boot Manager. Kromě toho oprava poskytuje ESPecter schopnost zcela obejít protokoly Windows Driver Signature Enforcement (DSE) a nahrát do napadeného počítače vlastní nepodepsané ovladače. Hrozba také může vložit další nebezpečné komponenty k navázání spojení s útočníkovým serverem Command-and-Control (C2, C&C).

Výzkumníci objevili na systémech infikovaných ESPecter moduly pro záznam klíčů a krádeže souborů, což naznačuje, že hlavním cílem aktéra hrozby by mohla být kybernetická špionáž a sledování vybraných cílů. ESPecter je také vybaven funkcí pro pořizování libovolných snímků obrazovky a jejich ukládání do skrytého adresáře spolu se shromážděnými protokoly klíčů a dokumenty.

Aby však ESPecter mohl provádět své ohrožující činnosti, potřebuje v systému deaktivovat funkci Secure Boot. Zabezpečené spouštění bylo poprvé představeno jako funkce Windows s vydáním Windows 8, takže všechny dřívější verze operačního systému se automaticky stanou náchylnými k útoku ESPecter. Použití novější verze systému Windows však nestačí. V posledních několika letech se objevilo mnoho zranitelností firmwaru UEFI, které útočníkům umožňují deaktivovat nebo přímo obejít Secure Boot.

Trendy

Nejvíce shlédnuto

Načítání...