ESPecter

En trussel mot skadelig programvare som potensielt har vært i stand til å unngå oppdagelse i nesten et tiår, har endelig blitt fanget opp av infosec-forskere. Oppdaget av cybersikkerhetseksperter, trusselen kalt ESPecter er et bootkit designet for å laste usignerte drivere til den infiserte ESP-stasjonen (EFI System Partition).

Forskerne sporet opprinnelsen til trusselen til minst 2012. I løpet av denne betydelige perioden var den mest drastiske endringen som skadevare har gjennomgått overgangen fra å målrette eldre BIOS og Master Boot Record til deres etterfølger UEFI. Unified Extensible Firmware Interface eller UEFI er en avgjørende komponent som kobler maskinens fastvare med operativsystemet.

Så langt har ikke ESPecter blitt tilskrevet noen spesifikk trusselaktør, på grunn av mangel på tilstrekkelig bevis. Visse tegn funnet i trusselens komponenter, for eksempel feilsøkingsmeldingene, tyder på at skaperne er kinesisktalende individer. Distribusjonsmetoden som brukes i leveringen av ESPecter er tilsvarende ukjent for øyeblikket. Trusselaktøren kan bruke en null-dagers UEFI-sårbarhet, en kjent, men fortsatt uopprettet feil, eller kan ha fysisk tilgang til de målrettede maskinene.

Tekniske detaljer

ESPecter plasserer seg selv i ESP og etablerer dens utholdenhet via en oppdatering som brukes på Windows Boot Manager. I tillegg gir oppdateringen ESPecter muligheten til å fullstendig omgå Windows Driver Signature Enforcement (DSE)-protokoller og laste inn sine egne usignerte drivere til den kompromitterte maskinen. Trusselen kan også injisere ytterligere usikre komponenter for å etablere en tilkobling til angriperens Command-and-Control-server (C2, C&C).

Forskere oppdaget nøkkellogging og fil-tyveri-moduler på systemene infisert med ESPecter, noe som indikerer at hovedmålet til trusselaktøren kan være cyberspionasje og overvåking av de valgte målene. Faktisk er ESPecter også utstyrt med funksjonalitet for å ta vilkårlige skjermbilder og lagre dem i en skjult katalog, sammen med de innsamlede nøkkelloggene og dokumentene.

For å utføre sine truende aktiviteter, trenger ESPecter imidlertid at funksjonen Secure Boot på systemet er deaktivert. Secure Boot ble først introdusert som en Windows-funksjon med utgivelsen av Windows 8, slik at alle tidligere versjoner av operativsystemet automatisk blir utsatt for et ESPecter-angrep. Det er imidlertid ikke nok å bruke en nyere Windows-versjon. Tallrike UEFI-fastvaresårbarheter har dukket opp de siste par årene som lar angripere deaktivere eller direkte omgå Secure Boot.