恶意间谍软件FinSpy新变体利用UEFI引导工具包感染Windows系统

  • A+
所属分类:安全新闻

更多全球网络安全资讯尽在邑安全

恶意间谍软件FinSpy新变体利用UEFI引导工具包感染Windows系统

商业开发的 FinFisher 监控软件已升级为使用UEFI(统一可扩展固件接口)引导包感染 Windows 设备,该引导包利用木马化的 Windows 引导管理器,标志着感染媒介的转变,使其能够逃避发现和分析。

FinFisher(又名 FinSpy 或 Wingbird)自 2011 年就在野外被发现,是一种适用于 Windows、macOS 和 Linux 的间谍软件工具集,由英德公司 Gamma International 开发,专门提供给执法和情报机构。但与 NSO Group 的 Pegasus 一样,该软件过去也曾被用来监视巴林活动家,并于 2017 年 9 月作为鱼叉式网络钓鱼活动的一部分提供。

FinFisher 能够收集用户凭据、文件列表、敏感文档、记录击键、从 Thunderbird、Outlook、Apple Mail 和 Icedove 中提取电子邮件消息,拦截 Skype 联系人、聊天、通话和传输的文件,并通过获取访问权限捕获音频和视频到机器的麦克风和网络摄像头。

虽然该工具之前是通过被篡改的合法应用程序安装程序(例如 TeamViewer、VLC 和 WinRAR)进行部署的,这些应用程序被一个混淆的下载程序后门,但 2014 年的后续更新通过主引导记录 (MBR) 引导工具包实现感染,目的是注入恶意加载程序以一种旨在绕过安全工具的方式。

要添加的最新功能是能够部署 UEFI bootkit 以加载 FinSpy,新样本展示的特性将 Windows UEFI 引导加载程序替换为恶意变体,并吹嘘四层混淆和其他检测规避方法以减慢逆向工程和分析的速度。

“感染这种方式允许攻击者安装的bootkit无需绕过固件安全检查,”卡巴斯基全球研究和分析团队(大)说,在技术深潜以下八个月之久的调查。“UEFI 感染非常罕见,而且通常难以执行,它们因其隐蔽性和持久性而引人注目。”

UEFI 是一种固件接口,是对基本输入/输出系统 (BIOS) 的改进,支持安全启动,可确保操作系统的完整性,以确定没有恶意软件干扰启动过程。但是由于 UEFI 促进了操作系统本身的加载,bootkit 感染不仅可以抵抗操作系统重新安装或更换硬盘驱动器,而且对操作系统内运行的安全解决方案也很不起眼。

这使威胁参与者能够控制启动过程,实现持久性并绕过所有安全防御。“虽然在这种情况下,攻击者并没有感染 UEFI 固件本身,而是感染了它的下一个启动阶段,但攻击特别隐蔽,因为恶意模块安装在单独的分区上,可以控制受感染机器的启动过程,”研究人员补充说。

原文来自: thehackernews.com

原文链接: https://thehackernews.com/2021/09/new-finspy-malware-variant-infects.html

欢迎收藏并分享朋友圈,让五邑人网络更安全

恶意间谍软件FinSpy新变体利用UEFI引导工具包感染Windows系统

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!


推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 



本文始发于微信公众号(邑安全):恶意间谍软件FinSpy新变体利用UEFI引导工具包感染Windows系统

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: