ESPecter

Угроза вредоносного ПО, которая потенциально могла избегать обнаружения в течение почти десятилетия, наконец, была обнаружена исследователями информационной безопасности. Обнаруженная специалистами по кибербезопасности угроза под названием ESPecter представляет собой буткит, предназначенный для загрузки неподписанных драйверов на диск ESP (системный раздел EFI) зараженной системы.

Исследователи проследили происхождение угрозы как минимум до 2012 года. В течение этого значительного периода наиболее радикальным изменением, которое претерпела вредоносная программа, стал переход от устаревшего BIOS и основной загрузочной записи к их преемнику UEFI. Унифицированный расширяемый интерфейс микропрограмм или UEFI является важным компонентом, который связывает микропрограммное обеспечение машины с операционной системой.

До сих пор ESPecter не был отнесен к какому-либо конкретному злоумышленнику из-за отсутствия достаточных доказательств. Определенные признаки, обнаруженные в компонентах угрозы, такие как ее сообщения отладки, позволяют предположить, что ее создатели являются лицами, говорящими по-китайски. Метод распространения, использованный при доставке ESPecter, в настоящее время также неизвестен. Злоумышленник может использовать уязвимость UEFI нулевого дня, известную, но еще не исправленную ошибку, или может иметь физический доступ к целевым машинам.

Технические подробности

ESPecter помещается в ESP и устанавливает его постоянство с помощью патча, применяемого к диспетчеру загрузки Windows. Кроме того, патч предоставляет ESPecter возможность полностью обходить протоколы принудительного применения подписи драйверов (DSE) Windows и загружать собственные неподписанные драйверы на скомпрометированную машину. Угроза также может внедрить дополнительные небезопасные компоненты для установления соединения с сервером Command-and-Control (C2, C&C) злоумышленника.

Исследователи обнаружили модули кейлоггинга и кражи файлов в системах, зараженных ESPecter, что указывает на то, что основной целью злоумышленника может быть кибершпионаж и наблюдение за выбранными целями. Действительно, ESPecter также оснащен функцией создания произвольных снимков экрана и сохранения их в скрытом каталоге вместе с собранными ключевыми журналами и документами.

Однако для выполнения угрожающих действий ESPecter необходимо отключить функцию безопасной загрузки в системе. Безопасная загрузка была впервые представлена как функция Windows с выпуском Windows 8, поэтому все более ранние версии ОС автоматически становятся уязвимыми для атаки ESPecter. Однако использовать более новую версию Windows недостаточно. За последние пару лет появилось множество уязвимостей прошивки UEFI, которые позволяют злоумышленникам отключить или полностью обойти безопасную загрузку.

В тренде

Наиболее просматриваемые

Загрузка...