ESPecter
एक मैलवेयर खतरा जो संभावित रूप से लगभग एक दशक तक पता लगाने से बचने में सक्षम रहा है, आखिरकार इन्फोसेक शोधकर्ताओं द्वारा पकड़ा गया है। साइबर सुरक्षा विशेषज्ञों द्वारा खोजा गया, ESPecter नाम का खतरा एक बूटकिट है जिसे अहस्ताक्षरित ड्राइवरों को संक्रमित सिस्टम ESP (EFI सिस्टम पार्टिशन) ड्राइव में लोड करने के लिए डिज़ाइन किया गया है।
शोधकर्ताओं ने कम से कम 2012 तक खतरे की उत्पत्ति का पता लगाया। इस महत्वपूर्ण अवधि के दौरान, मैलवेयर द्वारा किया गया सबसे कठोर परिवर्तन लीगेसी BIOS और मास्टर बूट रिकॉर्ड से उनके उत्तराधिकारी UEFI को लक्षित करना है। यूनिफाइड एक्स्टेंसिबल फर्मवेयर इंटरफेस या यूईएफआई एक महत्वपूर्ण घटक है जो मशीन के फर्मवेयर को ऑपरेटिंग सिस्टम से जोड़ता है।
पर्याप्त सबूतों की कमी के कारण अब तक ईएसपीेक्टर को किसी विशिष्ट खतरे वाले अभिनेता के लिए जिम्मेदार नहीं ठहराया गया है। खतरे के घटकों में पाए जाने वाले कुछ संकेत, जैसे कि इसके डिबग संदेश, सुझाव देते हैं कि इसके निर्माता चीनी भाषी व्यक्ति हैं। ESPecter की डिलीवरी में उपयोग की जाने वाली वितरण पद्धति इसी तरह अज्ञात है। खतरा अभिनेता शून्य-दिन यूईएफआई भेद्यता का उपयोग कर सकता है, एक ज्ञात लेकिन अभी भी अप्रकाशित बग, या लक्षित मशीनों तक भौतिक पहुंच हो सकती है।
तकनीकी जानकारी
ESPecter खुद को ESP में रखता है और Windows बूट मैनेजर पर लागू पैच के माध्यम से अपनी दृढ़ता स्थापित करता है। इसके अलावा, पैच ESPecter को विंडोज ड्राइवर सिग्नेचर एनफोर्समेंट (DSE) प्रोटोकॉल को पूरी तरह से बायपास करने और समझौता किए गए मशीन पर अपने स्वयं के अहस्ताक्षरित ड्राइवरों को लोड करने की क्षमता प्रदान करता है। हमलावर के कमांड-एंड-कंट्रोल (C2, C&C) सर्वर से कनेक्शन स्थापित करने के लिए खतरा अतिरिक्त असुरक्षित घटकों को भी इंजेक्ट कर सकता है।
शोधकर्ताओं ने ESPecter से संक्रमित सिस्टम पर कीलॉगिंग और फ़ाइल-चोरी मॉड्यूल की खोज की, यह दर्शाता है कि खतरे के अभिनेता का मुख्य लक्ष्य साइबर-जासूसी और चुने हुए लक्ष्यों की निगरानी हो सकता है। वास्तव में, ESPecter मनमाने ढंग से स्क्रीनशॉट लेने और उन्हें एकत्रित कुंजी लॉग और दस्तावेज़ों के साथ एक छिपी निर्देशिका में संग्रहीत करने की कार्यक्षमता से लैस है।
हालाँकि, अपनी खतरनाक गतिविधियों को करने के लिए, ESPecter को अक्षम होने के लिए सिस्टम पर सुरक्षित बूट सुविधा की आवश्यकता होती है। सिक्योर बूट को पहली बार विंडोज 8 की रिलीज के साथ विंडोज फीचर के रूप में पेश किया गया था, इसलिए ओएस के सभी पुराने संस्करण स्वचालित रूप से ईएसपीेक्टर हमले के लिए अतिसंवेदनशील हो जाते हैं। हालाँकि, हाल ही के Windows संस्करण का उपयोग करना पर्याप्त नहीं है। पिछले कुछ वर्षों में कई यूईएफआई फर्मवेयर कमजोरियां सामने आई हैं जो हमलावरों को सुरक्षित बूट को अक्षम या एकमुश्त बायपास करने की अनुमति देती हैं।
