SAS 2021: FinSpy 监视工具再次出现，比以往更强大

在卡巴斯基研究人员进行了8个月的调查后，FinSpy监控工具终于被发现。自2018年以来，针对间谍软件木马的检测已经减少，但事实证明，它并没有消失——它只是隐藏在各种初级植入程序后面，帮助掩盖其活动。与此同时，它还在继续提高自己的能力。

FinSpy(又名FinFisher或Wingbird)是一款适用于Windows、macOS和Linux的多平台软件，被当作执法工具存在于市面上。然而，就像NSO集团的Pegasus一样，它经常被用于恶意的目的。于2011年它首次被发现，是一款提供全方位服务的间谍软件，能够窃取信息和证书，并密切监测用户活动。例如，它收集文件列表和已删除的文件，以及各种文档;可以通过网络摄像头和麦克风直播或记录数据;可以窥探消息聊天;它使用浏览器中的开发人员模式来拦截使用HTTPS协议保护的流量。

2019年中期，在TeamViewer、VLC Media Player和WinRAR等合法应用程序中，研究人员发现了的几个可疑安装程序包含恶意代码。然而，据卡巴斯基说，它们似乎与任何已知的恶意软件都没有关联。但有一天，研究人员偶然发现了一个缅甸语网站，上面既有木马程序安装程序，也有用于Android的FinSpy样本。

周二，卡巴斯基研究人员Igor Kuznetsov和Georgy Kucherin在以复古为主题的虚拟安全分析师峰会(SAS )上表示:“我们新发现一些合法应用的可疑安装程序，通过一个相对较小的、模糊的下载程序进入程序后门。”“在我们的调查过程中，我们发现后门安装程序只不过是第一阶段的植入程序，在真正的FinSpy木马之前，用来下载和部署进一步的负载。”

多种规避技术

新样品采用了多层规避策略。首先，根据分析，受害者下载并执行木马程序后，他们会受到两个组件的审查。第一个是“预验证器”，它运行多个安全检查，以确保它不会感染安全研究人员的设备。

预验证器从命令和控制(C2)服务器下载大量的安全外壳代码并执行它们——总共33个。研究人员指出，每个shellcode收集特定的系统信息(例如当前进程名)并将其上传到服务器。如果任何检查失败，命令与控制(C2)服务器将终止感染过程。http://hackernews.cc/wp-content/uploads/2021/09/SAS-2-1024x527-600x309.png

如果所有安全检查都通过，服务器将提供第二个组件，称为“后验证器”。它收集信息，使其能够识别受害机器并验证特定的目标(它记录运行的进程、最近打开的文档和截图)，并将其发送到其配置中指定的C2服务器。

卡巴斯基表示，C2服务器根据收集到的信息，决定是部署成熟的木马平台还是清除感染。

根据卡巴斯基的分析，如果FinSpy最终部署，它将被四个复杂的、定制的混淆器进行高度混淆。

研究人员解释说:“这种混淆的主要功能是减慢对间谍软件的分析速度。”

另一个规避策略是这样的，FinSpy的一个样本通过替换负责启动操作系统的Windows UEFI引导加载程序来感染机器。

该研究称:“这种感染方法允许攻击者安装bootkit，而无需绕过固件安全检查。”“UEFI感染非常罕见，通常很难执行，由于其强规避性和持久性，它们格外难以处理。虽然在这种情况下，攻击者没有感染UEFI固件本身，但在它接下来的系统启动阶段，攻击是特别隐蔽的，因为恶意模块安装在一个单独的分区，可以控制受感染机器的启动过程。”

Kuznetsov说，攻击者做了大量工作，使安全研究人员无法访问FinSpy。他指出:“看起来就好像开发人员至少在混淆和反分析措施上投入了和制作木马本身一样多的工作。”“事实上，这种间谍软件部署得非常精确，几乎不可能分析，这也意味着它的受害者特别很难有效防御，研究人员面临着一个特殊的挑战——必须投入大量的资源来解开每一个样本。”

高度模块化的FinSpy

卡巴斯基还研究了最新样本的性能，看看是否有进化，发现FinSpy的架构仍然高度模块化，但比以往更难分析。这是因为一个名为“隐藏器”的组件对所有模块的加密。

Kuznetsov解释说:“它加密了属于整个基础架构的所有内存页面，包括协调器和所有插件，直到使用它们之前，所有内存页面都将保持加密。”“一旦需要执行代码或访问数据，那一个页面就会被解密。当不再需要它时，它就会被再次加密。”

他补充说，“这意味着，即使你制作一个受感染机器的实时内存图像，也很难在内存中找到木马，因为你能看到的唯一未加密的东西，只是这个隐藏程序的一小部分。”

http://hackernews.cc/wp-content/uploads/2021/09/finspy-1024x492-600x288.png

根据分析，隐藏器还负责启动“协调器”，协调器是一个核心模块，将加载其余的功能和控制插件。Kuznetsov说，它或多或少与之前的样本相同，但它增加了一个名为“通信器”的新模块，这是一个硬编码的二进制文件，位于用于维护C2通信的协调器的资源部分。

另一个新模块是进程蠕虫。

“这不会在机器之间感染或传播。但是，它在机器内部传播，从整个架构启动的顶部进程(通常是explorer.exe或Winlogon.exe)开始，”Kuznetsov解释说。“它会在所有子进程中复制自己，所有受感染的子进程将与父进程保持通信。”

该蠕虫模块还将键盘、鼠标点击和各种API连接到FinSpy的各种插件，以实现数据收集目的。

http://hackernews.cc/wp-content/uploads/2021/09/Finspy-plugin-600x336.png

“插件本身主要用来收集受害者的信息，”他说。“用于其他任务的插件并不多。”

有一些单独的插件可以窃取vpn证书、拨号证书、微软产品密钥信息、浏览器搜索和浏览历史、Wi-Fi连接信息、文件列表等等。也有一个通用的插件，任何通过IP (VoIP)软件的声音都可以录制下来。

“同样有趣的是，有一些数据取证工具可以找到已删除文件的信息，并存储已删除文件的历史。”Kuznetsov说，“还有一个非常独特的插件，利用了现代浏览器的除错功能。通过设置特定的环境变量，它们使浏览器将所有SSL加密密钥转储到磁盘上。通过这样做，攻击者可以解密来自受害者的所有SSL通信。”

所有的信息都可以实时收集，并可以向攻击者直播或预先录制。研究人员指出，在启动感兴趣的应用程序时，数据收集也可以被触发。

有一件事是明确的:FinSpy仍在不断开发中，它的开发者已经花费巨大的努力来规避分析。

Kuznetsov说:“我们和几位研究人员花了大约8个月的时间。”“在那段时间里，我们真的必须升级所有的工具。我们不得不从头开始发明和制造一些工具，还完成了一份300页的报告。结论是什么？我们认为这个与FinSpy的斗争还将持续很长一段时间。他们会一直更新和升级他们的设备。”

消息来源：ThreatPost，译者：Zoeppo；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc ” 并附上原文链接