ESPecter

Infosec-onderzoekers hebben eindelijk een malwarebedreiging ontdekt die mogelijk in staat is geweest om detectie gedurende bijna tien jaar te vermijden. De dreiging met de naam ESPecter, ontdekt door cyberbeveiligingsexperts, is een bootkit die is ontworpen om niet-ondertekende stuurprogramma's naar de ESP-schijf (EFI System Partition) van geïnfecteerde systemen te laden.

De onderzoekers hebben de oorsprong van de dreiging tot ten minste 2012 getraceerd. Tijdens deze significante periode is de meest ingrijpende verandering die de malware heeft ondergaan, de overstap van het targeten van legacy BIOS en Master Boot Record naar hun opvolger UEFI. De Unified Extensible Firmware Interface of UEFI is een cruciaal onderdeel dat de firmware van de machine verbindt met het besturingssysteem.

Tot nu toe is ESPecter niet toegeschreven aan een specifieke dreigingsactor, wegens gebrek aan voldoende bewijs. Bepaalde tekens in de componenten van de dreiging, zoals de debug-berichten, suggereren dat de makers Chinees sprekende personen zijn. De distributiemethode die wordt gebruikt bij de levering van ESPecter is op dit moment eveneens onbekend. De dreigingsactor zou een zero-day UEFI-kwetsbaarheid kunnen gebruiken, een bekende maar nog niet gepatchte bug, of kan fysieke toegang hebben tot de beoogde machines.

Technische details

ESPecter plaatst zichzelf in de ESP en stelt zijn persistentie vast via een patch die wordt toegepast op Windows Boot Manager. Bovendien biedt de patch ESPecter de mogelijkheid om de Windows Driver Signature Enforcement (DSE)-protocollen volledig te omzeilen en zijn eigen niet-ondertekende stuurprogramma's op de gecompromitteerde machine te laden. De dreiging kan ook extra onveilige componenten injecteren om een verbinding tot stand te brengen met de Command-and-Control (C2, C&C)-server van de aanvaller.

Onderzoekers ontdekten keylogging- en bestandsstelmodules op de systemen die waren geïnfecteerd met ESPecter, wat aangeeft dat het belangrijkste doel van de dreigingsactor cyberspionage en bewaking van de gekozen doelen zou kunnen zijn. ESPecter is inderdaad ook uitgerust met de functionaliteit om willekeurige schermafbeeldingen te maken en deze op te slaan in een verborgen map, naast de verzamelde sleutellogboeken en documenten.

Om zijn bedreigende activiteiten uit te voeren, moet ESPecter echter de Secure Boot-functie op het systeem uitschakelen. Secure Boot werd voor het eerst geïntroduceerd als een Windows-functie met de release van Windows 8, zodat alle eerdere versies van het besturingssysteem automatisch vatbaar worden voor een ESPecter-aanval. Het gebruik van een recentere Windows-versie is echter niet voldoende. De afgelopen jaren zijn er talloze kwetsbaarheden in de UEFI-firmware naar voren gekomen waarmee aanvallers Secure Boot kunnen uitschakelen of volledig kunnen omzeilen.