To vše dokazuje velkou snahu vývojářů spywaru o obcházení bezpečnostních řešení, což z FinFisheru dělá jeden z nejhůře odhalitelných spywarů!
FinFisher, známý také jako FinSpy nebo Wingbird, je sledovací nástroj, který je schopen shromažďovat oprávnění, výpisy souborů, smazané soubory nebo různé dokumenty, živě přenášet nebo nahrávat data a získat přístup k webové kameře a mikrofonu. Jeho implantáty do systému Windows se několikrát detekovaly a zkoumaly až do roku 2018, kdy FinFisher zdánlivě zmizel ze scény.
Řešení společnosti Kaspersky však později detekovala podezřelé instalátory legitimních aplikací, jako jsou TeamViewer, VLC Media Player a WinRAR. Tyto instalátory obsahovaly škodlivý kód, který nebylo možné ztotožnit s žádným známým malwarem, tedy až do chvíle, kdy se objevila webová stránka v barmštině, která obsahovala infikované instalační programy a vzorky FinFisheru pro Android, což pomohlo identifikovat, že se jedná o trojské koně se stejným spywarem. Tento objev přiměl výzkumníky společnosti Kaspersky k dalšímu zkoumání FinFisheru.
Na rozdíl od předchozích verzí spywaru, které obsahovaly trojského koně hned v infikované aplikaci, nové vzorky chránily dvě komponenty: neperzistentní prevalidátor a postvalidátor. První komponenta provádí několik bezpečnostních kontrol, aby se ujistila, že infikované zařízení nepatří bezpečnostnímu výzkumníkovi. Teprve když jsou tyto kontroly úspěšné, je načte se ze serveru postvalidátor. Tato komponenta zkontroluje, že jde o zařízení oběti, kterou má infikovat. Teprve poté vydá server příkaz k nasazení plnohodnotné platformy trojského koně.
FinFisher je silně obfuskován pomocí čtyř komplexních, na míru vytvořených obfuskátorů. Hlavním účelem obfuskace, neboli „znečitelnění kódu programu“, je ztížit a zpomalit analýzu spywaru. Kromě toho trojský kůň využívá také zvláštní způsoby shromažďování informací, například vývojářský režim v prohlížečích k zachycení provozu chráněného protokolem HTTPS.
Příklad
vlastností naplánované úlohy
Analytici také objevili vzorek FinFisheru, který nahradil zavaděč UEFI systému Windows – komponentu, která spouští operační systém po startu firmwaru spolu se škodlivým kódem. Tento způsob infekce umožnil útočníkům nainstalovat bootkit, aniž by bylo nutné obcházet bezpečnostní kontroly firmwaru. Infekce UEFI jsou velmi vzácné a obecně obtížně proveditelné; jejich předností je perzistence a nesnadná detekce. V tomto případě sice útočníci neinfikovali samotný firmware UEFI, ale jeho další zaváděcí fázi, útok byl však mimořádně dobře skrytý, protože škodlivý modul byl nainstalován do samostatného diskového oddílu a mohl ovládat proces bootování infikovaného počítače.
Zveřejněno: 29. 09. 2021