ESPecter
Trusselscorekort
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards er vurderingsrapporter for forskellige malware-trusler, som er blevet indsamlet og analyseret af vores forskningsteam. EnigmaSoft Threat Scorecards evaluerer og rangerer trusler ved hjælp af adskillige metrics, herunder virkelige og potentielle risikofaktorer, tendenser, frekvens, udbredelse og persistens. EnigmaSoft Threat Scorecards opdateres regelmæssigt baseret på vores forskningsdata og metrics og er nyttige for en bred vifte af computerbrugere, fra slutbrugere, der søger løsninger til at fjerne malware fra deres systemer, til sikkerhedseksperter, der analyserer trusler.
EnigmaSoft Threat Scorecards viser en række nyttige oplysninger, herunder:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Sværhedsgrad: Et objekts fastlagte sværhedsgrad, repræsenteret numerisk, baseret på vores risikomodelleringsproces og forskning, som forklaret i vores trusselsvurderingskriterier .
Inficerede computere: Antallet af bekræftede og formodede tilfælde af en bestemt trussel opdaget på inficerede computere som rapporteret af SpyHunter.
Se også Kriterier for trusselsvurdering .
| Trusselsniveau: | 100 % (Høj) |
| Inficerede computere: | 1 |
| Først set: | October 8, 2021 |
| Sidst set: | October 8, 2021 |
| Berørte operativsystemer: | Windows |
En malware-trussel, der potentielt har været i stand til at undgå opdagelse i næsten et årti, er endelig blevet fanget af infosec-forskere. Opdaget af cybersikkerhedseksperter, truslen ved navn ESPecter er et bootkit designet til at indlæse usignerede drivere til det inficerede system ESP-drev (EFI System Partition).
Forskerne sporede oprindelsen af truslen til mindst 2012. I løbet af denne betydningsfulde periode var den mest drastiske ændring, som malwaren har gennemgået, skiftet fra at målrette ældre BIOS og Master Boot Record til deres efterfølger UEFI. Unified Extensible Firmware Interface eller UEFI er en afgørende komponent, der forbinder maskinens firmware med operativsystemet.
Indtil videre er ESPecter ikke blevet tilskrevet nogen specifik trusselsaktør på grund af mangel på tilstrækkelige beviser. Visse tegn fundet i truslens komponenter, såsom dens fejlretningsmeddelelser, tyder på, at dens skabere er kinesisk-talende individer. Distributionsmetoden, der bruges i leveringen af ESPecter, er ligeledes ukendt i øjeblikket. Trusselsaktøren bruger muligvis en nul-dages UEFI-sårbarhed, en kendt, men stadig uoprettet fejl, eller den kan have fysisk adgang til de målrettede maskiner.
Tekniske detaljer
ESPecter placerer sig i ESP'en og etablerer dens vedholdenhed via en patch, der anvendes til Windows Boot Manager. Desuden giver patchen ESPecter muligheden for fuldstændig at omgå Windows Driver Signature Enforcement (DSE) protokoller og indlæse sine egne usignerede drivere til den kompromitterede maskine. Truslen kan også injicere yderligere usikre komponenter for at etablere en forbindelse til angriberens Command-and-Control-server (C2, C&C).
Forskere opdagede keylogging og fil-tyveri moduler på de systemer, der er inficeret med ESPecter, hvilket indikerer, at hovedmålet for trusselsaktøren kunne være cyberspionage og overvågning af de valgte mål. Faktisk er ESPecter også udstyret med funktionaliteten til at tage vilkårlige skærmbilleder og gemme dem i en skjult mappe sammen med de indsamlede nøglelogfiler og dokumenter.
For at udføre sine truende aktiviteter skal ESPecter dog have funktionen Secure Boot på systemet deaktiveret. Secure Boot blev først introduceret som en Windows-funktion med udgivelsen af Windows 8, så alle tidligere versioner af OS automatisk bliver modtagelige for et ESPecter-angreb. Det er dog ikke nok at bruge en nyere Windows-version. Adskillige UEFI-firmwaresårbarheder er dukket op i de sidste par år, som gør det muligt for angribere at deaktivere eller direkte omgå Secure Boot.
