ESPecter
Karta wyników zagrożenia
Karta wyników zagrożeń EnigmaSoft
EnigmaSoft Threat Scorecards to raporty oceniające różne zagrożenia złośliwym oprogramowaniem, które zostały zebrane i przeanalizowane przez nasz zespół badawczy. EnigmaSoft Threat Scorecards ocenia i klasyfikuje zagrożenia przy użyciu kilku wskaźników, w tym rzeczywistych i potencjalnych czynników ryzyka, trendów, częstotliwości, rozpowszechnienia i trwałości. Karty oceny zagrożeń EnigmaSoft są regularnie aktualizowane na podstawie danych i wskaźników naszych badań i są przydatne dla szerokiego grona użytkowników komputerów, od użytkowników końcowych poszukujących rozwiązań do usuwania złośliwego oprogramowania ze swoich systemów po ekspertów ds. bezpieczeństwa analizujących zagrożenia.
Karty wyników zagrożeń EnigmaSoft wyświetlają wiele przydatnych informacji, w tym:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Poziom ważności: Określony poziom ważności obiektu, przedstawiony liczbowo, na podstawie naszego procesu modelowania ryzyka i badań, jak wyjaśniono w naszych Kryteriach oceny zagrożeń .
Zainfekowane komputery: liczba potwierdzonych i podejrzewanych przypadków określonego zagrożenia wykrytych na zainfekowanych komputerach według danych SpyHunter.
Zobacz także Kryteria oceny zagrożeń .
| Poziom zagrożenia: | 100 % (Wysoka) |
| Zainfekowane komputery: | 1 |
| Pierwszy widziany: | October 8, 2021 |
| Ostatnio widziany: | October 8, 2021 |
| Systemy operacyjne, których dotyczy problem: | Windows |
Zagrożenie złośliwym oprogramowaniem, które potencjalnie było w stanie uniknąć wykrycia przez prawie dekadę, zostało w końcu wyłapane przez badaczy infosec. Odkryte przez ekspertów ds. cyberbezpieczeństwa zagrożenie o nazwie ESPecter to bootkit zaprojektowany do ładowania niepodpisanych sterowników na dysk ESP (EFI System Partition) zainfekowanego systemu.
Naukowcy prześledzili źródła zagrożenia co najmniej do 2012 r. W tym znaczącym okresie najbardziej drastyczną zmianą, jaką przeszło szkodliwe oprogramowanie, jest przejście z atakowania starszego systemu BIOS i głównego rekordu rozruchowego na ich następcę, UEFI. Unified Extensible Firmware Interface lub UEFI to kluczowy element, który łączy oprogramowanie układowe urządzenia z systemem operacyjnym.
Do tej pory ESPecter nie został przypisany żadnemu konkretnemu podmiotowi zagrażającemu, ze względu na brak wystarczających dowodów. Pewne znaki znalezione w komponentach zagrożenia, takie jak komunikaty debugowania, sugerują, że jego twórcy są osobami mówiącymi po chińsku. Podobnie nieznana jest obecnie metoda dystrybucji zastosowana w dostawie ESPectera. Aktor zagrożenia może wykorzystywać lukę zero-day UEFI, znany, ale wciąż niezałatany błąd, lub może mieć fizyczny dostęp do zaatakowanych maszyn.
Szczegóły techniczne
ESPecter umieszcza się w ESP i ustala jego trwałość za pomocą poprawki zastosowanej do Menedżera rozruchu systemu Windows. Ponadto łatka zapewnia ESPecterowi możliwość całkowitego ominięcia protokołów Windows Driver Signature Enforcement (DSE) i załadowania własnych niepodpisanych sterowników na zaatakowaną maszynę. Zagrożenie może również wstrzyknąć dodatkowe niebezpieczne komponenty, aby nawiązać połączenie z serwerem C2, C&C atakującego.
Badacze odkryli moduły keyloggera i kradzieży plików w systemach zainfekowanych ESPecter, wskazując, że głównym celem cyberprzestępcy może być cyberszpiegostwo i inwigilacja wybranych celów. Rzeczywiście, ESPecter jest również wyposażony w funkcję wykonywania dowolnych zrzutów ekranu i przechowywania ich w ukrytym katalogu, obok zebranych kluczowych dzienników i dokumentów.
Jednak, aby wykonać groźne działania, ESPecter wymaga wyłączenia funkcji Bezpiecznego rozruchu w systemie. Bezpieczny rozruch został po raz pierwszy wprowadzony jako funkcja systemu Windows wraz z wydaniem systemu Windows 8, więc wszystkie wcześniejsze wersje systemu operacyjnego automatycznie stają się podatne na atak ESPecter. Jednak korzystanie z nowszej wersji systemu Windows nie wystarczy. W ciągu ostatnich kilku lat pojawiły się liczne luki w oprogramowaniu UEFI, które umożliwiają atakującym wyłączenie lub całkowite ominięcie bezpiecznego rozruchu.
