恶意间谍软件FinSpy新变体利用UEFI引导工具包感染Windows系统

商业开发的 FinFisher 监控软件已升级为使用UEFI（统一可扩展固件接口）引导包感染 Windows 设备，该引导包利用木马化的 Windows 引导管理器，标志着感染媒介的转变，使其能够逃避发现和分析。

FinFisher（又名 FinSpy 或 Wingbird）自 2011 年就在野外被发现，是一种适用于 Windows、macOS 和 Linux 的间谍软件工具集，由英德公司 Gamma International 开发，专门提供给执法和情报机构。但与 NSO Group 的 Pegasus 一样，该软件过去也曾被用来监视巴林活动家，并于 2017 年 9 月作为鱼叉式网络钓鱼活动的一部分提供。

FinFisher 能够收集用户凭据、文件列表、敏感文档、记录击键、从 Thunderbird、Outlook、Apple Mail 和 Icedove 中提取电子邮件消息，拦截 Skype 联系人、聊天、通话和传输的文件，并通过获取访问权限捕获音频和视频到机器的麦克风和网络摄像头。

虽然该工具之前是通过被篡改的合法应用程序安装程序（例如 TeamViewer、VLC 和 WinRAR）进行部署的，这些应用程序被一个混淆的下载程序后门，但 2014 年的后续更新通过主引导记录 (MBR) 引导工具包实现感染，目的是注入恶意加载程序以一种旨在绕过安全工具的方式。

要添加的最新功能是能够部署 UEFI bootkit 以加载 FinSpy，新样本展示的特性将 Windows UEFI 引导加载程序替换为恶意变体，并吹嘘四层混淆和其他检测规避方法以减慢逆向工程和分析的速度。

“感染这种方式允许攻击者安装的bootkit无需绕过固件安全检查，”卡巴斯基全球研究和分析团队（大）说，在技术深潜以下八个月之久的调查。“UEFI 感染非常罕见，而且通常难以执行，它们因其隐蔽性和持久性而引人注目。”

UEFI 是一种固件接口，是对基本输入/输出系统 (BIOS) 的改进，支持安全启动，可确保操作系统的完整性，以确定没有恶意软件干扰启动过程。但是由于 UEFI 促进了操作系统本身的加载，bootkit 感染不仅可以抵抗操作系统重新安装或更换硬盘驱动器，而且对操作系统内运行的安全解决方案也很不起眼。

这使威胁参与者能够控制启动过程，实现持久性并绕过所有安全防御。“虽然在这种情况下，攻击者并没有感染 UEFI 固件本身，而是感染了它的下一个启动阶段，但攻击特别隐蔽，因为恶意模块安装在单独的分区上，可以控制受感染机器的启动过程，”研究人员补充说。

原文来自: thehackernews.com