ESPecter
Scorekort för hot
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards är utvärderingsrapporter för olika skadliga hot som har samlats in och analyserats av vårt forskarteam. EnigmaSoft Threat Scorecards utvärderar och rangordnar hot med hjälp av flera mätvärden inklusive verkliga och potentiella riskfaktorer, trender, frekvens, prevalens och persistens. EnigmaSoft Threat Scorecards uppdateras regelbundet baserat på våra forskningsdata och mätvärden och är användbara för ett brett spektrum av datoranvändare, från slutanvändare som söker lösningar för att ta bort skadlig programvara från sina system till säkerhetsexperter som analyserar hot.
EnigmaSoft Threat Scorecards visar en mängd användbar information, inklusive:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Allvarlighetsnivå: Den fastställda svårighetsgraden för ett objekt, representerad numeriskt, baserat på vår riskmodelleringsprocess och forskning, som förklaras i våra hotbedömningskriterier .
Infekterade datorer: Antalet bekräftade och misstänkta fall av ett visst hot som upptäckts på infekterade datorer som rapporterats av SpyHunter.
Se även Kriterier för hotbedömning .
| Hotnivå: | 100 % (Hög) |
| Infekterade datorer: | 1 |
| Först sett: | October 8, 2021 |
| Senast sedd: | October 8, 2021 |
| Operativsystem som påverkas: | Windows |
Ett hot mot skadlig programvara som potentiellt har kunnat undvika upptäckt i nästan ett decennium har äntligen fångats av infosec-forskare. Hotet som heter ESPecter, upptäckt av cybersäkerhetsexperter, är ett bootkit designat för att ladda osignerade drivrutiner till den infekterade ESP-enheten (EFI System Partition).
Forskarna spårade ursprunget till hotet till åtminstone 2012. Under denna betydande period var den mest drastiska förändringen av skadlig programvara övergången från att rikta in sig på äldre BIOS och Master Boot Record till deras efterföljare UEFI. Unified Extensible Firmware Interface eller UEFI är en avgörande komponent som kopplar ihop maskinens firmware med operativsystemet.
Än så länge har ESPecter inte tillskrivits någon specifik hotaktör, på grund av brist på tillräckliga bevis. Vissa tecken som finns i hotets komponenter, såsom dess felsökningsmeddelanden, tyder på att dess skapare är kinesisktalande individer. Distributionsmetoden som används vid leveransen av ESPecter är likaledes okänd för tillfället. Hotaktören kan använda en nolldagars UEFI-sårbarhet, en känd men fortfarande oparpad bugg, eller kan ha fysisk åtkomst till de riktade datorerna.
Tekniska detaljer
ESPecter placerar sig i ESP och etablerar dess beständighet via en patch som appliceras på Windows Boot Manager. Dessutom ger patchen ESPecter möjligheten att helt kringgå Windows Driver Signature Enforcement (DSE)-protokoll och ladda sina egna osignerade drivrutiner till den komprometterade maskinen. Hotet kan också injicera ytterligare osäkra komponenter för att upprätta en anslutning till angriparens Command-and-Control-server (C2, C&C).
Forskare upptäckte moduler för nyckelloggning och filstöld på systemen infekterade med ESPecter, vilket indikerar att huvudmålet för hotaktören kan vara cyberspionage och övervakning av de utvalda målen. Faktum är att ESPecter också är utrustad med funktionen att ta godtyckliga skärmdumpar och lagra dem i en dold katalog, tillsammans med de insamlade nyckelloggarna och dokumenten.
Men för att kunna utföra sina hotfulla aktiviteter behöver ESPecter funktionen Säker start på systemet inaktiveras. Säker start introducerades först som en Windows-funktion med lanseringen av Windows 8, så alla tidigare versioner av operativsystemet blir automatiskt mottagliga för en ESPecter-attack. Att använda en nyare Windows-version är dock inte tillräckligt. Många UEFI-firmware-sårbarheter har dykt upp under de senaste åren som gör att angripare kan inaktivera eller direkt kringgå Secure Boot.
