ESPecter
Wertungsliste der Bedrohung
EnigmaSoft Bedrohungs-Scorecard
EnigmaSoft Threat Scorecards sind Bewertungsberichte für verschiedene Malware-Bedrohungen, die von unserem Forschungsteam gesammelt und analysiert wurden. EnigmaSoft Threat Scorecards bewerten und stufen Bedrohungen anhand verschiedener Metriken ein, darunter reale und potenzielle Risikofaktoren, Trends, Häufigkeit, Prävalenz und Persistenz. EnigmaSoft Threat Scorecards werden regelmäßig auf der Grundlage unserer Forschungsdaten und -metriken aktualisiert und sind für eine Vielzahl von Computerbenutzern nützlich, von Endbenutzern, die nach Lösungen suchen, um Malware von ihren Systemen zu entfernen, bis hin zu Sicherheitsexperten, die Bedrohungen analysieren.
EnigmaSoft Threat Scorecards zeigen eine Vielzahl nützlicher Informationen an, darunter:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Schweregrad: Der ermittelte Schweregrad eines Objekts, numerisch dargestellt, basierend auf unserem Risikomodellierungsprozess und unserer Forschung, wie in unseren Kriterien zur Bedrohungsbewertung erläutert.
Infizierte Computer: Die Anzahl der bestätigten und vermuteten Fälle einer bestimmten Bedrohung, die auf infizierten Computern entdeckt wurden, wie von SpyHunter gemeldet.
Siehe auch Kriterien für die Bedrohungsbewertung .
| Bedrohungsstufe: | 100 % (Hoch) |
| Infizierte Computer: | 1 |
| Zum ersten Mal gesehen: | October 8, 2021 |
| Zuletzt gesehen: | October 8, 2021 |
| Betroffene Betriebssysteme: | Windows |
Eine Malware-Bedrohung, die seit fast einem Jahrzehnt möglicherweise nicht erkannt werden konnte, wurde endlich von den infosec-Forschern entdeckt. Die Bedrohung namens ESPecter wurde von Cybersicherheitsexperten entdeckt und ist ein Bootkit, mit dem nicht signierte Treiber auf das ESP-Laufwerk (EFI System Partition) des infizierten Systems geladen werden.
Die Forscher haben die Ursprünge der Bedrohung mindestens bis 2012 zurückverfolgt. Während dieses bedeutenden Zeitraums ist die drastischste Änderung der Malware der Wechsel von der Ausrichtung auf Legacy-BIOS und Master Boot Record zu ihrem Nachfolger UEFI. Das Unified Extensible Firmware Interface oder UEFI ist eine entscheidende Komponente, die die Firmware der Maschine mit dem Betriebssystem verbindet.
Bisher wurde ESPecter mangels ausreichender Beweise keinem konkreten Bedrohungsakteur zugeordnet. Bestimmte Anzeichen in den Komponenten der Bedrohung, wie z. B. die Debug-Meldungen, deuten darauf hin, dass es sich bei den Erstellern um chinesischsprachige Personen handelt. Die bei der Auslieferung von ESPecter verwendete Verteilungsmethode ist derzeit ebenfalls unbekannt. Der Bedrohungsakteur könnte eine Zero-Day-UEFI-Sicherheitslücke, einen bekannten, aber noch nicht behobenen Fehler ausnutzen oder physischen Zugriff auf die Zielcomputer haben.
Technische Details
ESPecter platziert sich im ESP und stellt seine Persistenz über einen Patch her, der auf den Windows Boot Manager angewendet wird. Darüber hinaus bietet der Patch ESPecter die Möglichkeit, die Protokolle der Windows Driver Signature Enforcement (DSE) vollständig zu umgehen und seine eigenen unsignierten Treiber auf den kompromittierten Computer zu laden. Die Bedrohung kann auch zusätzliche unsichere Komponenten einschleusen, um eine Verbindung zum Command-and-Control-Server (C2, C&C) des Angreifers herzustellen.
Forscher entdeckten Keylogging- und File-Stealing-Module auf den mit ESPecter infizierten Systemen, was darauf hindeutet, dass das Hauptziel des Bedrohungsakteurs die Cyber-Spionage und die Überwachung der ausgewählten Ziele sein könnte. Tatsächlich ist ESPecter auch mit der Funktionalität ausgestattet, beliebige Screenshots aufzunehmen und sie in einem versteckten Verzeichnis zusammen mit den gesammelten Schlüsselprotokollen und Dokumenten zu speichern.
Um seine bedrohlichen Aktivitäten ausführen zu können, muss ESPecter jedoch die Secure Boot-Funktion auf dem System deaktivieren. Secure Boot wurde erstmals mit der Veröffentlichung von Windows 8 als Windows-Funktion eingeführt, sodass alle früheren Versionen des Betriebssystems automatisch anfällig für einen ESPecter-Angriff werden. Die Verwendung einer neueren Windows-Version reicht jedoch nicht aus. In den letzten Jahren sind zahlreiche UEFI-Firmware-Schwachstellen aufgetreten, die es Angreifern ermöglichen, Secure Boot zu deaktivieren oder vollständig zu umgehen.
