ESPecter
Uhkien tuloskortti
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards ovat arviointiraportteja erilaisista haittaohjelmauhkista, jotka tutkimustiimimme on kerännyt ja analysoinut. EnigmaSoft Threat Scorecards arvioi ja luokittelee uhkia käyttämällä useita mittareita, mukaan lukien todelliset ja mahdolliset riskitekijät, trendit, esiintymistiheys, esiintyvyys ja pysyvyys. EnigmaSoft Threat Scorecards päivitetään säännöllisesti tutkimustietojemme ja mittareittemme perusteella, ja ne ovat hyödyllisiä monenlaisille tietokoneen käyttäjille, aina haittaohjelmien poistamiseen järjestelmissään ratkaisuja etsivistä loppukäyttäjistä uhkia analysoiviin tietoturvaasiantuntijoihin.
EnigmaSoft Threat Scorecards näyttää monenlaista hyödyllistä tietoa, mukaan lukien:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Vakavuustaso: Kohteen määritetty vakavuusaste, joka esitetään numeerisesti riskimallinnuksemme ja tutkimukseemme perusteella, kuten uhkien arviointikriteereissämme selitetään.
Tartunnan saaneet tietokoneet: SpyHunterin raportoimien vahvistettujen ja epäiltyjen tietyn uhan tapausten määrä tartunnan saaneissa tietokoneissa.
Katso myös Uhkien arviointikriteerit .
| Uhka taso: | 100 % (Korkea) |
| Tartunnan saaneet tietokoneet: | 1 |
| Ensin nähty: | October 8, 2021 |
| Viimeksi nähty: | October 8, 2021 |
| Vaikuttavat käyttöjärjestelmät: | Windows |
Haittaohjelmauhka, joka on mahdollisesti kyennyt välttämään havaitsemisen lähes vuosikymmenen ajan, on vihdoin saatu kiinni infosec-tutkijoille. Kyberturvallisuusasiantuntijoiden löytämä uhka nimeltä ESPecter on käynnistyssarja, joka on suunniteltu lataamaan allekirjoittamattomia ohjaimia tartunnan saaneiden järjestelmien ESP (EFI System Partition) -asemaan.
Tutkijat jäljittelivät uhan alkuperän ainakin vuoteen 2012. Tänä merkittävänä ajanjaksona jyrkin haittaohjelman läpikäymä muutos on siirtyminen vanhojen BIOS- ja Master Boot Record -tietojen kohdistamisesta seuraajaan UEFI:ään. Unified Extensible Firmware Interface tai UEFI on tärkeä komponentti, joka yhdistää koneen laiteohjelmiston käyttöjärjestelmään.
Toistaiseksi ESPecteria ei ole liitetty minkään tietyn uhkatoimijan syyksi riittävien todisteiden puutteen vuoksi. Tietyt uhan osista löydetyt merkit, kuten sen virheenkorjausviestit, viittaavat siihen, että sen tekijät ovat kiinaa puhuvia henkilöitä. ESPecterin toimituksessa käytetty jakelutapa on samoin tuntematon tällä hetkellä. Uhkatekijä voi käyttää nollapäivän UEFI-haavoittuvuutta, tunnettua, mutta vielä korjaamatonta bugia tai hänellä voi olla fyysinen pääsy kohteena oleviin koneisiin.
Tekniset yksityiskohdat
ESPecter asettuu ESP:hen ja varmistaa sen pysyvyyden Windowsin käynnistyshallintaan asennetun korjaustiedoston avulla. Lisäksi korjaustiedosto tarjoaa ESPecterille mahdollisuuden ohittaa kokonaan Windows Driver Signature Enforcement (DSE) -protokollat ja ladata omat allekirjoittamattomat ohjaimensa vaarantuneeseen koneeseen. Uhka voi myös lisätä vaarallisia komponentteja yhteyden muodostamiseksi hyökkääjän komento- ja ohjauspalvelimeen (C2, C&C).
Tutkijat löysivät ESPecter-tartunnan saaneista järjestelmistä näppäinloki- ja tiedostovarastomoduuleja, mikä viittaa siihen, että uhkatoimijan päätavoite voisi olla kybervakoilu ja valittujen kohteiden valvonta. Itse asiassa ESPecter on varustettu myös toiminnolla, jolla voidaan ottaa mielivaltaisia kuvakaappauksia ja tallentaa ne piilotettuun hakemistoon kerättyjen avainlokien ja asiakirjojen rinnalle.
Kuitenkin suorittaakseen uhkaavia toimintojaan ESPecter tarvitsee järjestelmän Secure Boot -ominaisuuden pois käytöstä. Secure Boot esiteltiin ensimmäisen kerran Windows-ominaisuudena Windows 8:n julkaisun myötä, joten kaikki aiemmat käyttöjärjestelmän versiot tulevat automaattisesti alttiiksi ESPecter-hyökkäykselle. Uudemman Windows-version käyttö ei kuitenkaan riitä. Viimeisten parin vuoden aikana on ilmaantunut lukuisia UEFI-laiteohjelmiston haavoittuvuuksia, joiden avulla hyökkääjät voivat poistaa Secure Bootin käytöstä tai ohittaa sen kokonaan.
