ESpecter Bootkit 自 2012 年以来一直在种植后门
ESpecter 是一种恶意植入程序,已被识别为引导包。尽管此恶意软件是最近才被发现的,但它自 2012 年以来一直处于活跃状态——这表明它有多么隐蔽。当然,它能够避开安全工具并不是它唯一的原因——它也没有被用于大规模攻击。相反,它的创建者似乎一直在有针对性的攻击中使用 ESpecter 引导工具包,受害者数量非常有限。
在过去十年中,ESpecter 的特定部分进行了大量更改,以使其与当前的计算机系统兼容。例如,较旧的变体通过渗透 BIOS 和主引导记录 (MBR) 起作用。但是,现代系统在加载操作系统之前使用统一可扩展固件接口 (UEFI)。这就是为什么更高版本的 ESpecter 专注于渗透 UEFI 组件的原因。
ESpectre Bootkit 部署了什么恶意软件?
通常,bootkit 与其他难以检测的知名恶意软件结合使用。在这些活动中,犯罪分子经常使用 ESpecter 自动加载的定制后门。多亏了这个后门,犯罪分子才能窃取文件、记录击键并执行远程命令。这些特征可能意味着 ESpecter 活动的目的是间谍活动。
关于 ESpecter 攻击的一个有趣信息是,它仅适用于禁用了安全启动功能的系统。此功能是在 Windows 8 中引入的,因此由于安全启动功能,所有运行 Windows 8 或更新版本的 Windows 机器都可以免受 ESpecter 的影响。关于用于在计算机上植入 ESpecter 的具体方法的信息不足。专家认为,攻击者可能已经物理访问了受害者的机器,或者他们可以访问 UEFI 服务中的未知漏洞。