ESPecter
Bedreigingsscorekaart
EnigmaSoft Threat-scorekaart
EnigmaSoft Threat Scorecards zijn beoordelingsrapporten voor verschillende malwarebedreigingen die zijn verzameld en geanalyseerd door ons onderzoeksteam. EnigmaSoft Threat Scorecards evalueren en rangschikken bedreigingen met behulp van verschillende statistieken, waaronder reële en potentiële risicofactoren, trends, frequentie, prevalentie en persistentie. EnigmaSoft Threat Scorecards worden regelmatig bijgewerkt op basis van onze onderzoeksgegevens en statistieken en zijn nuttig voor een breed scala aan computergebruikers, van eindgebruikers die oplossingen zoeken om malware van hun systemen te verwijderen tot beveiligingsexperts die bedreigingen analyseren.
EnigmaSoft Threat Scorecards geven een verscheidenheid aan nuttige informatie weer, waaronder:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Ernstniveau: het vastgestelde ernstniveau van een object, numeriek weergegeven, op basis van ons risicomodelleringsproces en onderzoek, zoals uitgelegd in onze dreigingsbeoordelingscriteria .
Geïnfecteerde computers: het aantal bevestigde en vermoedelijke gevallen van een bepaalde dreiging die is gedetecteerd op geïnfecteerde computers, zoals gerapporteerd door SpyHunter.
Zie ook Criteria voor dreigingsevaluatie .
| Dreigingsniveau: | 100 % (Hoog) |
| Geïnfecteerde computers: | 1 |
| Eerst gezien: | October 8, 2021 |
| Laatst gezien: | October 8, 2021 |
| Beïnvloede besturingssystemen: | Windows |
Infosec-onderzoekers hebben eindelijk een malwarebedreiging ontdekt die mogelijk in staat is geweest om detectie gedurende bijna tien jaar te vermijden. De dreiging met de naam ESPecter, ontdekt door cyberbeveiligingsexperts, is een bootkit die is ontworpen om niet-ondertekende stuurprogramma's naar de ESP-schijf (EFI System Partition) van geïnfecteerde systemen te laden.
De onderzoekers hebben de oorsprong van de dreiging tot ten minste 2012 getraceerd. Tijdens deze significante periode is de meest ingrijpende verandering die de malware heeft ondergaan, de overstap van het targeten van legacy BIOS en Master Boot Record naar hun opvolger UEFI. De Unified Extensible Firmware Interface of UEFI is een cruciaal onderdeel dat de firmware van de machine verbindt met het besturingssysteem.
Tot nu toe is ESPecter niet toegeschreven aan een specifieke dreigingsactor, wegens gebrek aan voldoende bewijs. Bepaalde tekens in de componenten van de dreiging, zoals de debug-berichten, suggereren dat de makers Chinees sprekende personen zijn. De distributiemethode die wordt gebruikt bij de levering van ESPecter is op dit moment eveneens onbekend. De dreigingsactor zou een zero-day UEFI-kwetsbaarheid kunnen gebruiken, een bekende maar nog niet gepatchte bug, of kan fysieke toegang hebben tot de beoogde machines.
Technische details
ESPecter plaatst zichzelf in de ESP en stelt zijn persistentie vast via een patch die wordt toegepast op Windows Boot Manager. Bovendien biedt de patch ESPecter de mogelijkheid om de Windows Driver Signature Enforcement (DSE)-protocollen volledig te omzeilen en zijn eigen niet-ondertekende stuurprogramma's op de gecompromitteerde machine te laden. De dreiging kan ook extra onveilige componenten injecteren om een verbinding tot stand te brengen met de Command-and-Control (C2, C&C)-server van de aanvaller.
Onderzoekers ontdekten keylogging- en bestandsstelmodules op de systemen die waren geïnfecteerd met ESPecter, wat aangeeft dat het belangrijkste doel van de dreigingsactor cyberspionage en bewaking van de gekozen doelen zou kunnen zijn. ESPecter is inderdaad ook uitgerust met de functionaliteit om willekeurige schermafbeeldingen te maken en deze op te slaan in een verborgen map, naast de verzamelde sleutellogboeken en documenten.
Om zijn bedreigende activiteiten uit te voeren, moet ESPecter echter de Secure Boot-functie op het systeem uitschakelen. Secure Boot werd voor het eerst geïntroduceerd als een Windows-functie met de release van Windows 8, zodat alle eerdere versies van het besturingssysteem automatisch vatbaar worden voor een ESPecter-aanval. Het gebruik van een recentere Windows-versie is echter niet voldoende. De afgelopen jaren zijn er talloze kwetsbaarheden in de UEFI-firmware naar voren gekomen waarmee aanvallers Secure Boot kunnen uitschakelen of volledig kunnen omzeilen.
