Autoři „vylepšili“ špehovací software FinFisher o nové funkce

5. 10. 2021. (redaktor: František Doupal, zdroj: Kaspersky)
Výrazně nebezpečnější a zákeřnější než kdy dřív je spyware FinFisher. Experti společnosti Kaspersky během komplexní analýzy všech nedávných aktualizací FinFisher pro Windows, Mac OS a Linux a jeho instalačních programů odhalili čtyřvrstvou obfuskaci, pokročilá antianalytická opatření a také použití UEFI bootkitu k infikování obětí.

Všechny provedené změny dokazujívelkou snahu vývojářů spywaru o obcházení bezpečnostních řešení, což z FinFisheru dělá jeden z nejhůře odhalitelných spywarů.

FinFisher, známý také jako FinSpy nebo Wingbird, je sledovací nástroj, kterým se společnost Kaspersky zabývá od roku 2011. Je schopen shromažďovat různá oprávnění, výpisy souborů, smazané soubory nebo různé dokumenty, živě přenášet nebo nahrávat data a získat přístup k webové kameře a mikrofonu. Jeho implantáty do systému Windows se několikrát detekovaly a zkoumaly až do roku 2018, kdy FinFisher zdánlivě zmizel ze scény.

Ústup ze scény byl jen fingovaný

Řešení společnosti Kaspersky však později detekovala podezřelé instalátory legitimních aplikací, jako jsou TeamViewer, VLC Media Player a WinRAR. Tyto instalátory obsahovaly škodlivý kód, který nebylo možné ztotožnit s žádným známým malwarem, tedy až do chvíle, kdy se objevila webová stránka v barmštině, která obsahovala infikované instalační programy a vzorky FinFisheru pro Android, což pomohlo identifikovat, že jde o trojské koně se stejným spywarem.

Na rozdíl od předchozích verzí spywaru, které obsahovaly trojského koně hned v infikované aplikaci, nové vzorky chránily dvě komponenty: neperzistentní prevalidátor a postvalidátor. První komponenta provádí několik bezpečnostních kontrol, aby se ujistila, že infikované zařízení nepatří bezpečnostnímu výzkumníkovi. Teprve když jsou tyto kontroly úspěšné, je načte se ze serveru postvalidátor. Tato komponenta zkontroluje, že jde o zařízení oběti, kterou má infikovat. Teprve poté vydá server příkaz k nasazení plnohodnotné platformy trojského koně.

Nasazena byla velmi silná ochrana kódu

FinFisher je silně obfuskován pomocí čtyř komplexních, na míru vytvořených obfuskátorů. Hlavním účelem obfuskace, neboli „znečitelnění kódu programu“, je ztížit a zpomalit analýzu spywaru. Kromě toho trojský kůň využívá také zvláštní způsoby shromažďování informací, například vývojářský režim v prohlížečích k zachycení provozu chráněného protokolem HTTPS.

Analytici také objevili vzorek FinFisheru, který nahradil zavaděč UEFI systému Windows – komponentu, která spouští operační systém po startu firmwaru spolu se škodlivým kódem. Tento způsob infekce umožnil útočníkům nainstalovat bootkit, aniž by bylo nutné obcházet bezpečnostní kontroly firmwaru. Infekce UEFI jsou velmi vzácné a obecně obtížně proveditelné; jejich předností je perzistence a nesnadná detekce. V tomto případě sice útočníci neinfikovali samotný firmware UEFI, ale jeho další zaváděcí fázi, útok byl však mimořádně dobře skrytý, protože škodlivý modul byl nainstalován do samostatného diskového oddílu a mohl ovládat proces bootování infikovaného počítače.

„Množství práce vynaložené, aby FinFisher unikal bezpečnostním výzkumníkům, je velmi znepokojivé a svým způsobem působivé. Zdá se, že vývojáři vložili do obfuskace a opatření proti analýze přinejmenším tolik úsilí jako do samotného trojského koně. Výsledkem je, že díky svým schopnostem vyhnout se jakékoli detekci a analýze je tento spyware mimořádně obtížné sledovat a odhalit. Skutečnost, že tento spyware útočí s vysokou přesností a prakticky se nedá analyzovat, také znamená, že jeho oběti jsou obzvláště zranitelné a výzkumníci čelí neobyčejné výzvě – do analýzy každého vzorku musejí investovat ohromné množství prostředků. Komplexní hrozby, jako je FinFisher, ukazují, jak je důležité, aby bezpečnostní výzkumníci spolupracovali, vyměňovali si poznatky a také investovali do nových typů bezpečnostních řešení, která dokážou proti takovým hrozbám bojovat,“ vysvětlil Igor Kuzněcov, hlavní bezpečnostní analytik v týmu GReAT (Global Research and Analysis Team) společnosti Kaspersky.

Celou zprávu si můžete přečíst na webu Securelist.com.

Štítky: 
Bezpečnost, Kaspersky

Podobné články

Svá data již muselo obnovovat přes 90 % českých organizací

26. 10. 2021. (redaktor: František Doupal, zdroj: Acronis)
Podle lokálního průzkumu společnosti Acronis provedeného mezi účastníky konference Acronis Cyber Protection Roadshow 2021 v Praze a Ostravě muselo 94 % respondentů již někdy obnovovat data ve své organizaci či u svých zákazníků. Většina těchto organizací musela data obnovit vícekrát či je obnovuje pravidelně, čtvrtině z nich proces obnovy trvá i více než 12 hodin. Čtěte více

Entec Solutions získal do distribuce bezpečnostních řešení Barracuda

26. 10. 2021. (redaktor: František Doupal, zdroj: Entec Solutions)
V současné době, kdy je kybernetická bezpečnost neustálou prioritou, se společnost Entec Solutions rozhodla rozšířit produktové portfolio o produkty společnosti Barracuda. Jde zejména o řešení pro zabezpečení sítí, e-mailové komunikace, cloudového prostředí i ochranu dat a jejich archivaci, zálohování a obnovu po havárii a mnohé další. Čtěte více

Tři hrozby na vzestupu

25. 10. 2021. (redaktor: František Doupal, zdroj: Cisco systems)
Říjen je měsícem evropské kybernetické bezpečnosti. Při této příležitosti připomněla společnost Cisco Talos, jakým kybernetickým hrozbám jsme čelili v uplynulém roce a vybrala tři trendy, které se na ohrožení sítí nově podílejí. Jde o útoky na dodavatelské řetězce, cryptojacking a biometrickou autentizaci. Čtěte více

E-mailové archivy mohou posloužit i jako užitečný zdroj obnovy dat a posílení bezpečnosti

21. 10. 2021. (redaktor: František Doupal, zdroj: GFI Software)
Společnost GFI Software uvedla, že archivy elektronické pošty stále častěji slouží jako důležitý prvek obnovy ztracených dat či jako užitečná zpětná vazba IT bezpečnosti. Zejména pro SMB firmy, které si nemohou dovolit nákladná komplexní řešení, je všestrannost řešení typu GFI Archiver vítaným posílením jejich kybernetické ochrany. Čtěte více