專家發現FinSpy監視間諜軟件的新變種，能夠劫持和替換UEFI

卡巴斯基的惡意軟件研究人員發現了臭名昭著的商業FinSpy監視間諜軟件（也稱為翼鳥）的新改進，它現在可以劫持和更換Windows UEFI（統一可擴展固件界面）啟動加載器感染目標機器。

更換 UEFI 啟動加載器允許攻擊者安裝無法檢測到在機器上運行的安全解決方案的啟動包，并允許惡意軟件在受感染的系統上獲得持久性。

卡巴斯基專家在2021年安全分析師峰會上分享了對Finspy間諜軟件為期8個月的調查結果。研究人員發現了作者采用的四層混淆和先進的反分析措施，這些措施使FinFisher成為迄今為止最難檢測到的間諜軟件之一。

卡巴斯基專家指出，他們檢測到的FinFisher變種沒有感染UEFI固件本身，攻擊者用惡意的啟動管理器（bootmgfw.efi）取代了Windows啟動管理器（bootmgfw.efi），以感染機器。

"在我們的研究中，我們發現了一個UEFI靴子，裝載芬斯皮。所有感染 UEFI 靴子的機器都用惡意的 Windows 引導管理器（bootmgfw.efi）替換。當 UEFI 將執行轉移到惡意裝載機時，它首先定位原始 Windows 引導管理器。 "它存儲在電子-微軟\靴子\en-us]目錄內，名稱由六角形字符組成。此目錄還包含兩個文件：溫洛貢噴油器和特洛伊木馬裝載機。

與以前的 FinSpy 版本不同，新樣品利用兩個組件來防止惡意軟件分析、非持久性預驗證器和驗證后驗證器。前者確保受害者的機器不用于惡意軟件分析，后者是用于確保受害者是預期的持久植入物。

專家們還指出，當間諜軟件瞄準不支持 UEFI 的機器時，感染涉及使用 MBR（主啟動記錄）。

卡巴斯基全球研究與分析團隊（GReAT）首席安全研究員伊戈爾·庫茲涅佐夫（Igor Kuznetsov）補充道："讓FinFisher無法為安全研究人員所接觸的工作量尤其令人擔憂，而且有些令人印象深刻。"似乎開發人員在混淆和反分析措施方面投入了至少與特洛伊木馬本身一樣多的工作。因此，它逃避任何檢測和分析的能力使得這種間諜軟件特別難以跟蹤和檢測。

研究人員發表了對芬菲舍爾新變種的詳細分析，報告還包括進一步的技術細節，以及 Windows、Linux 和 macOS 的芬菲舍版本的折衷 （IOCs） 指標。