ESPecter

信息安全研究人员终于发现了一种可能能够避免检测近十年的恶意软件威胁。由网络安全专家发现，名为 ESPecter 的威胁是一个引导包，旨在将未签名的驱动程序加载到受感染的系统 ESP（EFI 系统分区）驱动器。

研究人员将威胁的起源追溯到至少 2012 年。在这个重要时期，恶意软件所经历的最剧烈的变化是从针对传统 BIOS 和主引导记录转向其后继 UEFI。统一可扩展固件接口或 UEFI 是连接机器固件与操作系统的关键组件。

到目前为止，由于缺乏足够的证据，ESPecter 尚未被归咎于任何特定的威胁行为者。在威胁组件中发现的某些迹象（例如其调试消息）表明其创建者是讲中文的人。 ESPecter 交付使用的分发方法目前同样未知。威胁行为者可能正在使用零日 UEFI 漏洞、已知但仍未修补的错误，或者可能对目标计算机具有物理访问权限。

技术细节

ESPecter 将自身置于 ESP 中，并通过应用于 Windows 启动管理器的补丁建立其持久性。此外，该补丁使 ESPecter 能够完全绕过 Windows 驱动程序签名强制 (DSE) 协议并将其自己的未签名驱动程序加载到受感染的机器上。威胁还可以注入额外的不安全组件以与攻击者的命令和控制（C2、C&C）服务器建立连接。

研究人员在感染了 ESPecter 的系统上发现了键盘记录和文件窃取模块，这表明威胁行为者的主要目标可能是网络间谍活动和对选定目标的监视。事实上，ESPecter 还配备了拍摄任意屏幕截图的功能，并将它们与收集的关键日志和文档一起存储在一个隐藏目录中。

但是，要执行其威胁活动，ESPecter 需要禁用系统上的安全启动功能。安全启动最初是作为 Windows 8 发布的 Windows 功能引入的，因此所有早期版本的操作系统都会自动容易受到 ESPecter 攻击。但是，使用更新的 Windows 版本是不够的。过去几年中出现了许多 UEFI 固件漏洞，允许攻击者禁用或彻底绕过安全启动。