ESPecter

En malware-trussel, der potentielt har været i stand til at undgå opdagelse i næsten et årti, er endelig blevet fanget af infosec-forskere. Opdaget af cybersikkerhedseksperter, truslen ved navn ESPecter er et bootkit designet til at indlæse usignerede drivere til det inficerede system ESP-drev (EFI System Partition).

Forskerne sporede oprindelsen af truslen til mindst 2012. I løbet af denne betydningsfulde periode var den mest drastiske ændring, som malwaren har gennemgået, skiftet fra at målrette ældre BIOS og Master Boot Record til deres efterfølger UEFI. Unified Extensible Firmware Interface eller UEFI er en afgørende komponent, der forbinder maskinens firmware med operativsystemet.

Indtil videre er ESPecter ikke blevet tilskrevet nogen specifik trusselsaktør på grund af mangel på tilstrækkelige beviser. Visse tegn fundet i truslens komponenter, såsom dens fejlretningsmeddelelser, tyder på, at dens skabere er kinesisk-talende individer. Distributionsmetoden, der bruges i leveringen af ESPecter, er ligeledes ukendt i øjeblikket. Trusselsaktøren bruger muligvis en nul-dages UEFI-sårbarhed, en kendt, men stadig uoprettet fejl, eller den kan have fysisk adgang til de målrettede maskiner.

Tekniske detaljer

ESPecter placerer sig i ESP'en og etablerer dens vedholdenhed via en patch, der anvendes til Windows Boot Manager. Desuden giver patchen ESPecter muligheden for fuldstændig at omgå Windows Driver Signature Enforcement (DSE) protokoller og indlæse sine egne usignerede drivere til den kompromitterede maskine. Truslen kan også injicere yderligere usikre komponenter for at etablere en forbindelse til angriberens Command-and-Control-server (C2, C&C).

Forskere opdagede keylogging og fil-tyveri moduler på de systemer, der er inficeret med ESPecter, hvilket indikerer, at hovedmålet for trusselsaktøren kunne være cyberspionage og overvågning af de valgte mål. Faktisk er ESPecter også udstyret med funktionaliteten til at tage vilkårlige skærmbilleder og gemme dem i en skjult mappe sammen med de indsamlede nøglelogfiler og dokumenter.

For at udføre sine truende aktiviteter skal ESPecter dog have funktionen Secure Boot på systemet deaktiveret. Secure Boot blev først introduceret som en Windows-funktion med udgivelsen af Windows 8, så alle tidligere versioner af OS automatisk bliver modtagelige for et ESPecter-angreb. Det er dog ikke nok at bruge en nyere Windows-version. Adskillige UEFI-firmwaresårbarheder er dukket op i de sidste par år, som gør det muligt for angribere at deaktivere eller direkte omgå Secure Boot.