カスペルスキー、スパイウェア「FinFisher」の4層からなる難読化やUEFIブートキットを介した感染を発見
- 2021/10/01 10:00
- SecurityInsight
カスペルスキーは9月30日、Windows、Mac OS、Linuxに向けたスパイウェア「FinFisher」とそのインストーラーに実装された最新アップデートについて、包括的な調査結果を発表した。その概要は以下のとおり。
8か月にわたる調査の結果、FinFisherの開発者が用いた4層からなる難読化や解析回避の高度な手口、および標的に感染させるためのUEFI(Unified Extensible Firmware Interface)ブートキットの使用が明らかになった。特に注目すべきことは、標的側の防御を回避する機能に重点が置かれていることで、FinFisherはこれまでで最も検知が難しいスパイウェアの一つとなっている。
以前のFinFisherのバージョンとは異なり、今回のマルウェアの検体は、非永続型のプレバリデータ(Pre-Validator)およびポストバリデータ(Post-Validator)と呼ぶ二つのコンポーネントによって保護されていた。プレバリデータコンポーネントは、セキュリティチェックを複数回実行し、感染させるデバイスがセキュリティリサーチャーのものではないことを確認する。そのチェックにパスした場合のみ、ポストバリデータのコンポーネントがサーバーから提供される。このコンポーネントは、感染させたデバイスが意図した標的であることを確認し、その後、サーバーからのコマンドによって本格的なトロイの木馬のプラットフォームが展開される。
今回発見したFinFisherは、カスタムメイドの4つの複雑な難読化ツールによって高度に難読化されている。この難読化の主な役割は、スパイウェアの分析を遅らせること。そのほかにも、このトロイの木馬はブラウザーの開発者モードを使用して、HTTPSプロトコルで保護されたトラフィックを傍受するなど特異な手法で情報を収集する。
さらに、同社のリサーチャーは、WindowsのUEFIファームウェア起動後にOSを起動するコンポーネントを悪意のあるものに置き換えたFinFisherの検体も発見。この感染方法により、攻撃者はUEFIファームウェアのセキュリティチェックを回避する必要なくUEFIブートキットをインストールすることができた。
UEFIへの感染は極めてまれで一般的には実行が難しく、その回避性と持続性によって際立った存在となっている。今回の場合は、UEFIファームウェアそのものではなく、その次の起動段階のブートローダーへの感染だったが、悪意のあるモジュールが別のパーティションにインストールされていることで、特にステルス性の高いものとなっていた。