ESPecter
Tehdit Puan Kartı
EnigmaSoft Tehdit Puan Kartı
EnigmaSoft Tehdit Puan Kartları, araştırma ekibimiz tarafından toplanan ve analiz edilen farklı kötü amaçlı yazılım tehditleri için değerlendirme raporlarıdır. EnigmaSoft Tehdit Puan Kartları, gerçek dünya ve potansiyel risk faktörleri, eğilimler, sıklık, yaygınlık ve kalıcılık dahil olmak üzere çeşitli ölçümleri kullanarak tehditleri değerlendirir ve sıralar. EnigmaSoft Tehdit Puan Kartları, araştırma verilerimize ve ölçümlerimize dayalı olarak düzenli olarak güncellenir ve kötü amaçlı yazılımları sistemlerinden kaldırmak için çözümler arayan son kullanıcılardan tehditleri analiz eden güvenlik uzmanlarına kadar çok çeşitli bilgisayar kullanıcıları için yararlıdır.
EnigmaSoft Tehdit Puan Kartları, aşağıdakiler de dahil olmak üzere çeşitli yararlı bilgiler görüntüler:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Önem Düzeyi: Tehdit Değerlendirme Kriterlerimizde açıklandığı gibi, risk modelleme sürecimize ve araştırmamıza dayalı olarak sayısal olarak gösterilen, bir nesnenin belirlenen önem düzeyi.
Enfekte Bilgisayarlar: SpyHunter tarafından bildirildiği üzere, virüslü bilgisayarlarda tespit edilen belirli bir tehdidin doğrulanmış ve şüphelenilen vakalarının sayısı.
Ayrıca bkz. Tehdit Değerlendirme Kriterleri .
| Tehlike seviyesi: | 100 % (Yüksek) |
| Etkilenen Bilgisayarlar: | 1 |
| İlk görüş: | October 8, 2021 |
| Son görülen: | October 8, 2021 |
| Etkilenen İşletim Sistemleri: | Windows |
Yaklaşık on yıldır potansiyel olarak algılanmayı önleyebilen bir kötü amaçlı yazılım tehdidi, sonunda bilgi güvenliği araştırmacıları tarafından yakalandı. Siber güvenlik uzmanları tarafından keşfedilen ESPecter adlı tehdit, virüslü sistemlerin ESP (EFI Sistem Bölmesi) sürücüsüne imzasız sürücüleri yüklemek için tasarlanmış bir önyükleme setidir.
Araştırmacılar tehdidin kökenini en az 2012 yılına kadar takip ettiler. Bu önemli dönemde, kötü amaçlı yazılımın maruz kaldığı en büyük değişiklik, eski BIOS ve Ana Önyükleme Kaydı'nı hedeflemekten halefleri UEFI'ye geçiş oldu. Birleşik Genişletilebilir Ürün Yazılımı Arabirimi veya UEFI, makinenin ürün yazılımını işletim sistemine bağlayan önemli bir bileşendir.
Şimdiye kadar ESPecter, yeterli kanıt olmaması nedeniyle herhangi bir belirli tehdit aktörüne atfedilmemiş. Hata ayıklama mesajları gibi tehdidin bileşenlerinde bulunan belirli işaretler, yaratıcılarının Çince konuşan kişiler olduğunu gösteriyor. ESPecter'ın tesliminde kullanılan dağıtım yöntemi şu anda benzer şekilde bilinmiyor. Tehdit aktörü, bilinen ancak hala yama uygulanmamış bir hata olan sıfırıncı gün UEFI güvenlik açığı kullanıyor olabilir veya hedeflenen makinelere fiziksel erişime sahip olabilir.
Teknik detaylar
ESPecter, kendisini ESP'ye yerleştirir ve kalıcılığını Windows Önyükleme Yöneticisine uygulanan bir yama aracılığıyla kurar. Ayrıca yama, ESPecter'a Windows Sürücü İmza Uygulaması (DSE) protokollerini tamamen atlama ve kendi imzasız sürücülerini güvenliği ihlal edilmiş makineye yükleme yeteneği sağlar. Tehdit, saldırganın Komuta ve Kontrol (C2, C&C) sunucusuyla bağlantı kurmak için ek güvenli olmayan bileşenler de enjekte edebilir.
Araştırmacılar, ESPecter ile enfekte olan sistemlerde keylogging ve dosya çalma modülleri keşfetti ve bu, tehdit aktörünün asıl amacının siber casusluk ve seçilen hedeflerin gözetlenmesi olabileceğini gösterdi. Aslında, ESPecter ayrıca rastgele ekran görüntüleri alma ve bunları toplanan anahtar günlükleri ve belgelerin yanında gizli bir dizinde saklama işleviyle donatılmıştır.
Ancak, ESPecter'ın tehdit edici faaliyetlerini gerçekleştirebilmesi için sistemdeki Güvenli Önyükleme özelliğinin devre dışı bırakılması gerekiyor. Güvenli Önyükleme, ilk olarak Windows 8'in piyasaya sürülmesiyle bir Windows özelliği olarak tanıtıldı, böylece işletim sisteminin önceki tüm sürümleri otomatik olarak bir ESPecter saldırısına karşı duyarlı hale geldi. Yine de daha yeni bir Windows sürümünü kullanmak yeterli değildir. Son birkaç yılda, saldırganların Güvenli Önyüklemeyi devre dışı bırakmasına veya tamamen atlamasına izin veren çok sayıda UEFI ürün yazılımı güvenlik açığı ortaya çıktı.
