بدافزار FinFisher که از نظر تجاری بسیار توسعه یافته است اکنون می تواند سیستم های ویندوز را با استفاده از یک bootkit UEFI که در Windows Boot Manager تزریق می کند آلوده کند.
FinFisher (به عنوان FinSpy و Wingbird شناخته می شود) یک راه حل نظارتی است که توسط گروه گاما توسعه یافته است و همچنین دارای قابلیت هایی شبیه بدافزار است که اغلب در انواع نرم افزارهای جاسوسی یافت می شود.
قدرت بدافزار
“در طول تحقیقات، UEFI bootkit پیدا کرده که FinSpy را بارگیری می کند. محققان Kasperksy اعلام داشتند که در همه ماشین های آلوده به bootkit UEFI ، ویندوز Boot Manager (bootmgfw.efi) با یک برنامه مخرب جایگزین می شود.”
این روش آلودگی به مهاجمان اجازه می دهد بدون نیاز به دور زدن بررسی های امنیتی سیستم عامل، یک bootkit را نصب کنند.
سیستم عامل UEFI (Unified Extensible Firmware Interface) اجازه می دهد بدافزار bootkit، در حافظه فلش SPI نصب شود و به مادربرد سیستم ها نفوذ کند و در نتیجه با از بین بردن هارد دیسک و یا حتی نصب مجدد سیستم عامل و خلاص شدن از شر این بدافزار غیرممکن است.
Bootkits یک کد مخرب است که در مرحله اولیه راه اندازی سیستم به صورت نامرئی نصب می شود و کنترل پروسه بوت شدن سیستم عامل ها را در اختیار مهاجمان قرار می دهد و این امکان را فراهم می کند تا ابزارهای امنیتی را با دور زدن مکانیزم Secure Boot خراب کند. (فعال کردن حالت ” full boot” یا ” thorough boot ” را مسدود می کند).
حملات مستند و بدافزارهایی که از Bootkits استفاده می کنند بسیار کم است.
Lojax توسط گروه هکرهای APT28 روسیه، MosaicRegressor توسط هکرهای چینی زبان، ماژول TrickBot و Moriya مهاجمان چینی برای جاسوسی استفاده می شود. همچنین محققان اعلام داشتند در این حملات مهاجمان سیستم عامل UEFI را آلوده نکردند، اما مرحله بوت بعدی آن، حمله بسیار مخفیانه بوده است، زیرا ماژول مخرب بر روی یک پارتیشن جداگانه نصب شده و توانسته است روند بوت دستگاه آلوده را کنترل کند.
رایانه های قدیمی که مجهز به UEFI نیستند با استفاده از یک تاکتیک مشابه، از طریق MBR (Master Boot Record) با بوتکیتی که برای اولین بار در سال 2014 شناسایی شد، آلوده شده اند.
مخفی سازی و اقدامات ضد آنالیز پیشرفته
مهاجمان از چهار دسته اقدامات برای ایجاد و ابهام و جلوگیری از تجزیه و تحلیل این بدافزار استفاده کردند تا FinFisher را به یکی از “سخت ترین جاسوس افزارهای قابل تشخیص تا به امروز” تبدیل کنند.
درواقع تلاش های آنها بسیار موثر بود زیرا این بدافزار تقریبا غیر قابل تجزیه و تحلیل است.
با ما تماس بگیرید:
021-88873951
031-36691964
www.panaco.ir
آرامش در پناه امنیت
منبع:
www.bleepingcomputer.com
