FinFisher恶意程序升级使用UEFI Bootkit感染Windows系统

朦胧的风

新版本的监控软件FinFisher（又名 FinSpy 或 Wingbird）变种程序已升级为使用UEFI（统一可扩展固件接口）引导包感染 Windows 设备，该引导包利用木马化的 Windows 引导管理器，标志着感染媒介的转变，使其能够逃避安全软件的发现和分析。



根据网络安全行业门户极牛网JIKENB.COM的梳理，FinFisher自 2011 年就在野被发现，是一种适用于 Windows、macOS 和 Linux 的间谍软件工具集，由英德公司 Gamma International 开发，专门提供给执法和情报机构。

FinFisher 能够收集用户凭据、文件列表、敏感文档、记录击键、从 Thunderbird、Outlook、Apple Mail 和 Icedove 中提取电子邮件消息，拦截 Skype 联系人、聊天、通话和传输的文件，并通过获取访问权限捕获音频和视频到机器的麦克风和网络摄像头。

虽然该工具之前是通过被篡改的合法应用程序安装程序（例如 TeamViewer、VLC 和 WinRAR）进行部署的，这些应用程序被一个混淆的下载程序后门，但 2014 年的后续更新通过主引导记录 (MBR) 引导工具包实现感染，目的是注入恶意加载程序以一种旨在绕过安全工具的方式。

要添加的最新功能是能够部署 UEFI 引导套件来加载 FinSpy，新样本展示的特性将 Windows UEFI 引导加载程序替换为恶意变体，并吹嘘四层混淆和其他检测规避方法来减慢逆向工程和分析的速度。

卡巴斯基安全人员称，感染这种方式允许攻击者安装的bootkit无需绕过固件安全检查，UEFI 感染非常罕见，而且通常难以执行，它们因其隐蔽性和持久性而引人注目。

UEFI 是一种固件接口，是对基本输入/输出系统 (BIOS) 的改进，支持安全启动，可确保操作系统的完整性，以确定没有恶意软件干扰启动过程。但是由于 UEFI 促进了操作系统本身的加载，bootkit 感染不仅可以抵抗操作系统重新安装或更换硬盘驱动器，而且对操作系统内运行的安全解决方案也很不起眼。

这使黑客能够控制启动过程，实现持久性并绕过所有安全防御。虽然在这种情况下，攻击者并没有感染 UEFI 固件本身，而是感染了它的下一个启动阶段，但攻击特别隐蔽，因为恶意模块安装在单独的分区上，可以控制受感染机器的启动过程。

https://baijiahao.baidu.com/s?id ... r=spider&for=pc

cfdiyr

这病毒挺智能的，还与时俱进。

潘基蚊

开了Security Boot能否抵御？

PanzerVIIIMaus

潘基蚊 发表于 2021-10-5 05:58
开了Security Boot能否抵御？

如果签名是合法的，那就能绕过
而且，当前只有很少的安全软件扫描能深入至UEFI

qxyokok

间谍软件会不会让微软签名？

北极小小默

qxyokok 发表于 2021-10-5 00:30
间谍软件会不会让微软签名？

应该不会，盗合法公司证书也可以签名

tdsskiller

PanzerVIIIMaus 发表于 2021-10-5 08:09
如果签名是合法的，那就能绕过
而且，当前只有很少的安全软件扫描能深入至UEFI

讨论过了，卡巴啥都没说，根本不知道能不能过

静态patch目前来看必须boothole或者有自己的签名，要不然别想了

深入EFI所在盘不是问题，这是修改了引导文件而已，不是硬件上的读写

qxyokok

北极小小默 发表于 2021-10-5 19:14
应该不会，盗合法公司证书也可以签名

原来还可以这样操作啊