ESPecter

信息安全研究人員終於發現了一種可能能夠避免檢測近十年的惡意軟件威脅。由網絡安全專家發現，名為 ESPecter 的威脅是一個引導包，旨在將未簽名的驅動程序加載到受感染的系統 ESP（EFI 系統分區）驅動器。

研究人員將威脅的起源追溯到至少 2012 年。在這個重要時期，惡意軟件所經歷的最劇烈變化是從針對傳統 BIOS 和主引導記錄轉向其後繼 UEFI。統一可擴展固件接口或 UEFI 是連接機器固件與操作系統的關鍵組件。

到目前為止，由於缺乏足夠的證據，ESPecter 尚未被歸咎於任何特定的威脅行為者。在威脅組件中發現的某些跡象（例如其調試消息）表明其創建者是講中文的人。 ESPecter 交付使用的分發方法目前同樣未知。威脅行為者可能正在使用零日 UEFI 漏洞、已知但仍未修補的錯誤，或者可能對目標計算機具有物理訪問權限。

技術細節

ESPecter 將自身置於 ESP 中，並通過應用於 Windows 啟動管理器的補丁建立其持久性。此外，該補丁使 ESPecter 能夠完全繞過 Windows 驅動程序簽名強制 (DSE) 協議並將其自己的未簽名驅動程序加載到受感染的機器上。威脅還可以注入額外的不安全組件以建立與攻擊者的命令和控制（C2、C&C）服務器的連接。

研究人員在感染了 ESPecter 的系統上發現了鍵盤記錄和文件竊取模塊，這表明威脅行為者的主要目標可能是網絡間諜活動和對選定目標的監視。事實上，ESPecter 還配備了截取任意屏幕截圖並將它們與收集的關鍵日誌和文檔一起存儲在隱藏目錄中的功能。

但是，要執行其威脅活動，ESPecter 需要禁用系統上的安全啟動功能。安全啟動最初是作為 Windows 8 發布的 Windows 功能引入的，因此所有早期版本的操作系統都會自動容易受到 ESPecter 攻擊。但是，使用更新的 Windows 版本是不夠的。過去幾年中出現了許多 UEFI 固件漏洞，允許攻擊者禁用或徹底繞過安全啟動。