ESPecter

10年近く検出を回避できる可能性のあるマルウェアの脅威が、ついにinfosecの研究者によって発見されました。サイバーセキュリティの専門家によって発見されたESPecterという名前の脅威は、感染したシステムのESP（EFIシステムパーティション）ドライブに署名されていないドライバーをロードするように設計されたブートキットです。

研究者は、脅威の起源を少なくとも2012年まで追跡しました。この重要な期間中に、マルウェアが受けた最も劇的な変化は、レガシーBIOSとマスターブートレコードのターゲットから後継のUEFIへの切り替えです。 Unified Extensible Firmware InterfaceまたはUEFIは、マシンのファームウェアをオペレーティングシステムに接続する重要なコンポーネントです。

これまでのところ、十分な証拠がないため、ESPecterは特定の脅威アクターに起因するものではありません。デバッグメッセージなど、脅威のコンポーネントに見られる特定の兆候は、その作成者が中国語を話す個人であることを示唆しています。 ESPecterの配信に使用される配布方法も、現時点では同様に不明です。攻撃者は、ゼロデイUEFI脆弱性、既知であるがまだパッチが適用されていないバグを使用しているか、ターゲットマシンに物理的にアクセスしている可能性があります。

技術的な詳細

ESPecterは自身をESPに配置し、Windows BootManagerに適用されたパッチを介してその永続性を確立します。さらに、このパッチにより、ESPecterは、Windows Driver Signature Enforcement（DSE）プロトコルを完全にバイパスし、侵入先のマシンに独自の署名されていないドライバーをロードすることができます。この脅威は、攻撃者のコマンドアンドコントロール（C2、C＆C）サーバーへの接続を確立するために、追加の安全でないコンポーネントを挿入する可能性もあります。

研究者は、ESPecterに感染したシステムでキーロガーとファイル盗用モジュールを発見しました。これは、脅威アクターの主な目標が、選択したターゲットのサイバースパイと監視である可能性があることを示しています。実際、ESPecterには、任意のスクリーンショットを撮り、収集したキーログやドキュメントと一緒に隠しディレクトリに保存する機能も備わっています。

ただし、脅威となるアクティビティを実行するには、ESPecterでシステムのセキュアブート機能を無効にする必要があります。セキュアブートは、Windows 8のリリースでWindows機能として最初に導入されたため、以前のすべてのバージョンのOSは自動的にESPecter攻撃の影響を受けやすくなります。ただし、最新のWindowsバージョンを使用するだけでは不十分です。過去数年間に、攻撃者がセキュアブートを無効にしたり、完全にバイパスしたりできる、UEFIファームウェアの脆弱性が多数発生しています。