目前,全球多国政府及相关机构已经开始利用臭名昭著的间谍软件FiniFisher(又称FinSpy)掀起新一波监控浪潮。除了在技术层面有所改进之外,其部分变种还开始采用一种更为狡猾且此前从未出现过的感染载体——已经有诸多线索表明,各大主要互联网服务供应商(简称ISP)有可能参与其中。
FinFisher 具备一系列间谍功能,包括通过网络摄像头与麦克风实施实时监控、记录键盘输入内容以及文件提取等。
但FinFisher与其它监控工具之间最大的区别仍然在于其部署方式。FinFisher实际上是作为一款执法工具进行宣传的,而且行业人士认为相当一部分专制政权都在利用其巩固自身统治。
维基解密曝光用Finfisher恶意软件来窥探其公民的国家
目前已经在使用Finfisher恶意软件的其中七个国家发现了FinFisher的最新变种。
已知FinFisher利用到多种感染机制,其中包括鱼叉式钓鱼、以物理方式访问设备并进行手动安装、零日漏洞利用以及水坑攻击(预先感染目标可能访问的网站),目前已经发现有攻击者利用这种方式传播FinFisher移动版。
而作为一类更令人头痛的新问题,本轮攻击浪潮中攻击者开始使用中间人攻击方式——其中的中间“人”很可能身处互联网服务供应商的运营层级。
研究人员已经通过ESET系统检测到有两个国家利用这种方式传播FinFisher间谍软件,但在其它的五个国家中,FinFisher仍然依赖于传统感染载体。
目前,在用户(被监控目标)下载几款热门的合法应用时,会被重新定向至感染有FinFisher的应用版本处。被用于传播FinFisher的具体应用包括WhatsApp、Skype、Avast、WinRAR以及VLC Player等等。更值得一提的是,几乎任何一种应用程序都可以通过这种方式进行滥用。
当用户在合法网站上搜索某一款应用程序(已被感染)并点击对应下载链接时,其浏览器会遭到链接修改,并将用户请求重定向至攻击者在服务器上托管的“有马”安装包处,FinFIsher间谍软件将与合法应用绑定在一起一并下载和执行。
图一:最新FinFisher变种的感染机制
为了实现重定向,攻击者需要利用恶意链接替换原本的合法下载链接。该恶意链接会通过HTTP 307(服务器响应文档的状态码)临时重定向状态响应代码影响用户的浏览器,不过整个重新定向流程会在用户不知情的状态下发生。
图二:最新FinFisher变种的具体感染机制
FinFisher的这套最新版本在技术层面亦有所提升,其作者也更为关注隐匿能力。这款间谍软件利用定制化代码虚拟化机制保护自身大部分组件,包括其中的内核模式驱动程序。另外,整体代码皆拥有反解析技术。我们还在这款间谍软件中发现了大量反沙箱、反调试、反虚拟化以及反仿真等技术手段。这一切都令分析工作变得更为复杂。
研究人员在克服了首层保护机制(防反汇编)后,接下来还有代码虚拟化层等着。其虚拟机调度器拥有34款处理程序,且该间谍软件几乎完全立足解释器执行,这进一步增加了分析工作的处理难度。
图三:大量虚拟机处理程序令代码分析变得更加复杂
研究人员表示将在之后的白皮书当中对这款FinFisher的最新变种作出更为详细的技术分析。
在对最新的攻击活动进行分析时,研究人员发现了一种有趣的现象:FinFisher间谍软件会被伪装成一个名为“Threema”的可执行文件。此类文件常见于关注隐私的用户群体当中,因为合法的Threema应用程序负责通过端到端加密机制提供即时消息安全保护。但讽刺的是,被诈骗下载并运行该受感染文件的隐私用户反而会因此受到攻击者的窥探。
除了这种端到端通信工具,攻击者还为那些打算搜索加密软件的用户准备了其它“特别惊喜”。在研究当中,我们亦发现一个TrueCrypt安装文件,这款曾经红极一时的磁盘加密软件同样被植入了FinFisher木马。
前文提到,攻击者开始使用中间人攻击方式——其中的中间“人”很可能身处互联网服务供应商的运营层级。从技术角度来看,此类中间人攻击活动里的中间“人”很可能位于从目标计算机到合法服务器线路当中的任意位置(例如被入侵的Wi-Fi热点)。然而根据ESET系统的最新检测结果,FinFisher变种的地理分布情况表明,相关中间人攻击发生在更高层级——这意味着其很可能得到了互联网服务供应商的支持。
这样的假设也得到了其它一些事实的支持:
首先,根据维基解密发布的内部泄露情报,FinFisher开发者提供了一款名为“FinFly ISP”的解决方案,其能够部署在互联网服务供应商网络上,从而执行以上提到的中间人攻击行为。
第二,两个受影响国家都遭遇到同样的感染技术(即利用HTTP 307进行重定向)——除非由相同来源所开发及/或提供,否则不可能使用完全相同的技术手段。
第三,单一国家内全部受感染目标都使用同一家互联网服务供应商。
最后,至少已经有一个受影响国家的互联网服务供应商使用同样的重定向方法与格式进行互联网内容过滤。
此前流出文件内关于互联网服务供应商及中间人攻击的部署事宜从未得到披露,但如今我们终于得以一窥真相。
如果消息最终得到确认,那么FinFIsher攻击活动将代表着一个在复杂度与隐蔽性层面达到全新历史高度的监控项目,其监控手段、监控范围都让人“震惊”。
所有ESET产品都能够检测并阻止Win32/FinSpy.AA以及Win32/FinSpy.AB威胁。用户可以利用ESET的免费在线扫描工具检查计算机是否受到感染。如果已经受到感染,请及时进行清除。
另外,已经安装了ESET产品的用户将自动受到保护。