ESPecter
Ett hot mot skadlig programvara som potentiellt har kunnat undvika upptäckt i nästan ett decennium har äntligen fångats av infosec-forskare. Hotet som heter ESPecter, upptäckt av cybersäkerhetsexperter, är ett bootkit designat för att ladda osignerade drivrutiner till den infekterade ESP-enheten (EFI System Partition).
Forskarna spårade ursprunget till hotet till åtminstone 2012. Under denna betydande period var den mest drastiska förändringen av skadlig programvara övergången från att rikta in sig på äldre BIOS och Master Boot Record till deras efterföljare UEFI. Unified Extensible Firmware Interface eller UEFI är en avgörande komponent som kopplar ihop maskinens firmware med operativsystemet.
Än så länge har ESPecter inte tillskrivits någon specifik hotaktör, på grund av brist på tillräckliga bevis. Vissa tecken som finns i hotets komponenter, såsom dess felsökningsmeddelanden, tyder på att dess skapare är kinesisktalande individer. Distributionsmetoden som används vid leveransen av ESPecter är likaledes okänd för tillfället. Hotaktören kan använda en nolldagars UEFI-sårbarhet, en känd men fortfarande oparpad bugg, eller kan ha fysisk åtkomst till de riktade datorerna.
Tekniska detaljer
ESPecter placerar sig i ESP och etablerar dess beständighet via en patch som appliceras på Windows Boot Manager. Dessutom ger patchen ESPecter möjligheten att helt kringgå Windows Driver Signature Enforcement (DSE)-protokoll och ladda sina egna osignerade drivrutiner till den komprometterade maskinen. Hotet kan också injicera ytterligare osäkra komponenter för att upprätta en anslutning till angriparens Command-and-Control-server (C2, C&C).
Forskare upptäckte moduler för nyckelloggning och filstöld på systemen infekterade med ESPecter, vilket indikerar att huvudmålet för hotaktören kan vara cyberspionage och övervakning av de utvalda målen. Faktum är att ESPecter också är utrustad med funktionen att ta godtyckliga skärmdumpar och lagra dem i en dold katalog, tillsammans med de insamlade nyckelloggarna och dokumenten.
Men för att kunna utföra sina hotfulla aktiviteter behöver ESPecter funktionen Säker start på systemet inaktiveras. Säker start introducerades först som en Windows-funktion med lanseringen av Windows 8, så alla tidigare versioner av operativsystemet blir automatiskt mottagliga för en ESPecter-attack. Att använda en nyare Windows-version är dock inte tillräckligt. Många UEFI-firmware-sårbarheter har dykt upp under de senaste åren som gör att angripare kan inaktivera eller direkt kringgå Secure Boot.
