logo KASPERSKY LAB CZECH REPUBLIC

Spyware FinFisher se snaží obcházet bezpečnostních řešení

FinFisher je sledovací nástroj, který je schopen shromažďovat různá oprávnění, výpisy souborů, smazané soubory nebo různé dokumenty, živě přenášet nebo nahrávat data a získat přístup k webové kameře a mikrofonu.

Bezpečnostní experti společnosti Kaspersky během osmiměsíční komplexní analýzy všech nedávných aktualizací FinFisher pro Windows, Mac OS a Linux a jeho instalačních programů odhalili čtyřvrstvou obfuskaci (převádění zdrojového kódu konkrétního programu do stejného zdrojového kódu, při kterém se provede několik změn), pokročilá antianalytická opatření a také použití UEFI bootkitu k infikování obětí.

Dokazuje to velkou snahu vývojářů spywaru o obcházení bezpečnostních řešení, což z FinFisheru dělá jeden z nejhůře odhalitelných spywarů.

"Množství práce vynaložené, aby FinFisher unikal bezpečnostním výzkumníkům, je velmi znepokojivé a svým způsobem působivé. Zdá se, že vývojáři vložili do obfuskace a opatření proti analýze přinejmenším tolik úsilí jako do samotného trojského koně. Výsledkem je, že díky svým schopnostem vyhnout se jakékoli detekci a analýze je tento spyware mimořádně obtížné sledovat a odhalit. Skutečnost, že tento spyware útočí s vysokou přesností a prakticky se nedá analyzovat, také znamená, že jeho oběti jsou obzvláště zranitelné a výzkumníci čelí neobyčejné výzvě - do analýzy každého vzorku musejí investovat ohromné množství prostředků. Komplexní hrozby, jako je FinFisher, ukazují, jak je důležité, aby bezpečnostní výzkumníci spolupracovali, vyměňovali si poznatky a také investovali do nových typů bezpečnostních řešení, která dokáží proti takovým hrozbám bojovat," říká Igor Kuznetsov, hlavní bezpečnostní analytik v týmu GReAT (Global Research and Analysis Team) společnosti Kaspersky.

Jeho implantáty do systému Windows se několikrát detekovaly a zkoumaly až do roku 2018, kdy FinFisher zdánlivě zmizel ze scény.

Řešení společnosti Kaspersky však později detekovala podezřelé instalátory legitimních aplikací, jako jsou TeamViewer, VLC Media Player a WinRAR. Tyto instalátory obsahovaly škodlivý kód, který nebylo možné ztotožnit s žádným známým malwarem, tedy až do chvíle, kdy se objevila webová stránka v barmštině, která obsahovala infikované instalační programy a vzorky FinFisheru pro Android.

To pomohlo identifikovat, že se jedná o trojské koně se stejným spywarem. Tento objev přiměl výzkumníky společnosti Kaspersky k dalšímu zkoumání FinFisheru.

Na rozdíl od předchozích verzí spywaru, které obsahovaly trojského koně hned v infikované aplikaci, nové vzorky chránily dvě komponenty - neperzistentní prevalidátor a postvalidátor.

První komponenta provádí několik bezpečnostních kontrol, aby se ujistila, že infikované zařízení nepatří bezpečnostnímu výzkumníkovi. Teprve když jsou tyto kontroly úspěšné, je načte se ze serveru postvalidátor.

Tato komponenta zkontroluje, že jde o zařízení oběti, kterou má infikovat. Teprve poté vydá server příkaz k nasazení plnohodnotné platformy trojského koně.

FinFisher je silně obfuskován pomocí čtyř komplexních, na míru vytvořených obfuskátorů. Hlavním účelem obfuskace, neboli znečitelnění kódu programu, je ztížit a zpomalit analýzu spywaru.

Kromě toho trojský kůň využívá také zvláštní způsoby shromažďování informací, například vývojářský režim v prohlížečích k zachycení provozu chráněného protokolem HTTPS.

Analytici také objevili vzorek FinFisheru, který nahradil zavaděč UEFI systému Windows - komponentu, která spouští operační systém po startu firmwaru spolu se škodlivým kódem. Tento způsob infekce umožnil útočníkům nainstalovat bootkit, aniž by bylo nutné obcházet bezpečnostní kontroly firmwaru.

Infekce UEFI jsou velmi vzácné a obecně obtížně proveditelné; jejich předností je perzistence a nesnadná detekce. V tomto případě sice útočníci neinfikovali samotný firmware UEFI, ale jeho další zaváděcí fázi, útok byl však mimořádně dobře skrytý, protože škodlivý modul byl nainstalován do samostatného diskového oddílu a mohl ovládat proces bootování infikovaného počítače.

Jak se spolehlivě chránit před hrozbami typu FinFisher:

Jak zajistit lepší ochranu firemních sítí:

Článek KASPERSKY LAB CZECH REPUBLIC ze dne pátek 1. října 2021

Další články od KASPERSKY LAB CZECH REPUBLIC

Masivní kybernetické útoky na ukrajinskou infrastrukturu

Mobilní hrozby v roce 2021

Bezpečná bezdrátová aktualizace řídících jednotek chytrých automobilů

Rekordní nárůst DDos útoků

Spam a phishing v roce 2021

Valentýn 2022 ve znamení nárůstu podvodných aktivit

Evropské firmy často podceňují investice do IT bezpečnosti

Kyberbezpečnostní hra [Dis]connected

Hrdiny sci-fi filmu Moonfall chrání bezpečnostní systémy Kaspersky

Log4Shell zranitelnost představuje novou éru kybernetických útoků

Blokování škodlivého obsahu a phishingových domén

Rizika kontroverzních příspěvků na sociálních sítích

Bezpečnostní hrozba BlueNoroff vykrádá účty finančních startupů

Ochrana digitální identity v prostředí metasvěta

Rekordní záchyt nových typů škodlivých souborů

Jak nastavit ochranu soukromí u různých internetových služeb a platforem

Škodlivý doplněk krade přihlašovací údaje uživatelů Microsoft Exchange Serveru

Nebezpečná zranitelnost v rozšířené knihově nástrojů pro Java aplikace

Nové strategie ransomware útočníků

Zásady kybernetické bezpečnosti pro bionická zařízení

Firmy často tají informace o úniku osobních údajů zaměstnanců

Lepší zabezpečení kyberbezpečnosti je pro zdravotnická zařízení velkou výzvou

Prognózy finančních hrozeb roku 2022

Slevové akce typu Black Friday lákají k podvodům při online platbách

Jak se lidé a firmy dokázali přizpůsobit podmínkám práce na home office

Nahlédněte do zákulisí etických hackerů a kybernetických profesionálů

Špatná legislativa brzdí vyšetřování kybernetické kriminality

Kyberzločinci intenzivně využívají streamované pořady a seriály jako návnadu

Aktualizace Kaspersky VPN Secure Connection

Počet pokročilých DDoS útoků roste

Pozor na scam a phishing ve falešných kampaních podvodníků

Kyberzločin zneužívá popularitu Hry na oliheň

Skupina Lazarus vyvíjí prostředky pro útok na dodavatelské řetězce

Simulační hra o kyberbezpečnosti pro diplomaty a úředníky

Bezpečná online práce zaměstnanců s využitím VPN

Bankovní trojan Trickbot se překotně vyvíjí

Nový zero-day exploit MysterySnail napadá servery s Microsoft Windows

Sdílení dat s dodavateli představuje riziko kybernetického útoku

Absolutní ochrana před ransomware

Nový backdoor Tomiris se podezřele podobá malwaru Sunshuttle

Spyware FinFisher se snaží obcházet bezpečnostních řešení

Trojan BloodyStealer ohrožuje on-line herní platformy

Cybersecurity platforma pomáhá v rozvoji nových produktů a služeb

Sociální sítě během epidemie často nahrazují skutečné vztahy

Kaspersky Smart Home Security pro ochranu IoT zařízení chytrých domácností

Kaspersky Security Day

Pravidelné aktualizace a silná hesla snižují rizika kybernetického napadení firem

SAS 2021 - Summit bezpečnostních analytiků

Microsoft Exchange Server čelí nárůstu kybernetických útoků

Bezpečnostní řešení Kaspersky spolehlivě chrání před bankovním trojanem QakBot