新的FinSpy恶意软件变种通过UEFI引导包感染Windows系统

商业开发的FinFisher监视软件已升级为使用UEFI（统一可扩展固件接口）引导工具包感染Windows设备，该引导工具包利用特洛伊木马化的Windows引导管理器，标志着感染载体的转变，使其能够逃避发现和分析

自2011年在野外发现，FinFisher（又名FinSpy或Wingbird）是一种用于Windows、macOS和Linux的间谍软件工具集，由英德公司Gamma International开发，专门提供给执法和情报机构。但与NSO集团的Pegasus一样，该软件过去也曾被用来监视巴林活动人士，据称该软件是2017年9月标枪钓鱼活动的一部分

FinFisher可以获取用户凭证、文件列表、敏感文档、记录击键、从Thunderbird、Outlook、Apple Mail和Icedove中提取电子邮件、拦截Skype联系人、聊天、通话和传输的文件，并通过访问机器的麦克风和网络摄像头捕捉音频和视频

虽然该工具之前是通过合法应用程序（如TeamViewer、VLC和WinRAR）的篡改安装程序部署的，这些应用程序被一个模糊的下载程序从后门下载，2014年的后续更新通过主引导记录（MBR）引导包启用了感染，目的是以一种设计为绕过安全工具的方式注入恶意加载程序

要添加的最新功能是部署UEFI引导工具包来加载FinSpy的能力，新的示例展示了用恶意变体取代Windows UEFI引导加载程序的属性，以及四层模糊和其他规避检测方法，以减缓逆向工程和分析的速度

“这种感染方式允许攻击者安装引导包，而无需绕过固件安全检查，”卡巴斯基的全球研究与分析团队（GReAT）在经过八个月的调查后进行了技术深度调查。“UEFI感染非常罕见，而且通常很难执行，由于其逃避性和持久性，它们非常突出。”

UEFI是一个固件接口，是对基本输入/输出系统（BIOS）的改进，支持安全引导，确保操作系统的完整性，以确保没有恶意软件干扰引导过程。但由于UEFI有助于操作系统本身的加载，bootkit感染不仅对操作系统的重新安装或硬盘驱动器的更换有抵抗力，而且对操作系统内运行的安全解决方案也不太明显

这使威胁参与者能够控制启动过程，实现持久性，并绕过所有安全防御。研究人员补充说：“虽然在本例中，攻击者没有感染UEFI固件本身，但在下一个引导阶段，攻击尤其隐蔽，因为恶意模块安装在单独的分区上，可以控制受感染机器的引导过程。”