ESpecter Bootkit 自 2012 年以來一直在種植後門
ESpecter 是一種惡意植入程序,已被識別為引導包。儘管此惡意軟件是最近才被發現的,但它自 2012 年以來一直處於活躍狀態——這表明它有多麼隱蔽。當然,它能夠避開安全工具並不是它唯一的原因——它也沒有被用於大規模攻擊。相反,它的創建者似乎一直在有針對性的攻擊中使用 ESpecter 引導工具包,受害者數量非常有限。
在過去十年中,ESpecter 的特定部分進行了大量更改,以使其與當前的計算機系統兼容。例如,較舊的變體通過滲透 BIOS 和主引導記錄 (MBR) 起作用。但是,現代系統在加載操作系統之前使用統一可擴展固件接口 (UEFI)。這就是為什麼更高版本的 ESpecter 專注於滲透 UEFI 組件的原因。
ESpectre Bootkit 部署了什麼惡意軟件?
通常,bootkit 與其他難以檢測的知名惡意軟件結合使用。在這些活動中,犯罪分子經常使用 ESpecter 自動加載的定制後門。多虧了這個後門,犯罪分子才能竊取文件、記錄擊鍵並執行遠程命令。這些特徵可能意味著 ESpecter 活動的目的是間諜活動。
關於 ESpecter 攻擊的一個有趣信息是,它僅適用於禁用了安全啟動功能的系統。此功能是在 Windows 8 中引入的,因此由於安全啟動功能,所有運行 Windows 8 或更新版本的 Windows 機器都可以免受 ESpecter 的影響。關於用於在計算機上植入 ESpecter 的具體方法的信息不足。專家認為,攻擊者可能已經物理訪問了受害者的機器,或者他們可以訪問 UEFI 服務中的未知漏洞。