Spionagesoftware FinFisher verfügt nun über vier Verschleierungsstufen sowie UEFI-Infektion

Die Analyse [1] dauerte acht Monate und deckt unter anderem eine vierschichtige Verschleierungstaktik und fortschrittliche Anti-Analyse-Maßnahmen auf. Darüber hinaus verfügt die Spyware nun über ein UEFI-Bootkit, um Opfer zu infizieren. Die Ergebnisse deuten darauf hin, dass FinFisher [2] stark auf die Umgehung von Verteidigungsmaßnahmen ausgerichtet ist, was die Malware zu einer der bisher am schwersten zu identifizierenden Spionagesoftware macht.

FinFisher, auch als FinSpy oder Wingbird bekannt, ist ein Überwachungstool, das Kaspersky seit dem Jahr 2011 verfolgt. Die Spyware kann verschiedene Anmeldeinformationen, Dateilisten und gelöschte Dateien sowie verschiedene Dokumente sammeln, Daten per Livestreaming übertragen und aufzeichnen sowie sich Zugriff auf eine Webcam und ein Mikrofon verschaffen. Seine Windows-Implants wurden bis zum Jahr 2018 mehrfach entdeckt und untersucht, bis FinFisher verschwunden zu sein schien.

Danach entdeckten die Kaspersky-Lösungen verdächtige Installer von legitimen Anwendungen wie TeamViewer, VLC Media Player und WinRAR, die schädlichen Code enthielten, der jedoch nicht mit bekannter Malware in Verbindung gebracht werden konnte. Eines Tages entdeckten sie eine burmesische Website, die die infizierten Installer und Samples von FinFisher für Android enthielt; sie erkannte, dass sie mit derselben Spyware trojanisiert wurden.

Im Gegensatz zur früheren Versionen der Spyware, die den Trojaner direkt in der infizierten Anwendung enthielten, waren die neuen Samples durch zwei Komponenten geschützt – einen nicht-persistenten Pre-Validator und einen Post-Validator. Die erste Komponente führt mehrere Sicherheitsüberprüfungen durch, um sicherzustellen, dass das Gerät, das infiziert werden soll, nicht einem Sicherheitsforscher gehört. Nur wenn diese Überprüfung erfolgreich ist, wird die Post-Validator-Komponente vom Server bereitgestellt; sie stellt sicher, das richtige Opfer infiziert zu haben. Erst dann gibt der Server den Befehl zum Einsatz der vollwertigen Trojaner-Plattform.

FinFisher ist durch vier komplexe, speziell generierte Obfuskatoren verschleiert. Deren Hauptfunktion besteht darin, die Analyse der Spyware zu verlangsamen. Darüber hinaus verwendet der Trojaner sehr spezielle Methoden, um Informationen zu sammeln. So nutzt er beispielsweise den Entwicklermodus in Browsern, um den mit einem HTTPS-Protokoll geschützten Datenverkehr abzufangen.

Die Kaspersky-Forscher entdeckten zudem ein FinFisher-Sample, das den Windows UEFI-Bootloader – eine Komponente, die das Betriebssystem nach dem Start der Firmware in Betrieb setzt – durch einen schädlichen ersetzt. Diese Art der Infektion ermöglicht den Angreifern, ein Bootkit zu installieren, ohne die Sicherheitsüberprüfungen der Firmware umgehen zu müssen. Solche UEFI-Infektionen sind selten und in der Regel schwer ausführbar. Sie zeichnen sich durch ihre intelligente Umgehungstrategie und Beständigkeit aus. In diesem Fall infizierten die Angreifer nicht die UEFI-Firmware selbst, sondern die nächste Boot-Phase; der Angriff fand unentdeckt statt, da das schädliche Modul auf einer separaten Partition installiert wurde und den Boot-Prozess des infizierten Rechners kontrollieren konnte.

„Der Aufwand, der betrieben wurde, um FinFisher für Sicherheitsforscher unzugänglich zu machen, ist besonders besorgniserregend und auf eine seltsame Weise beeindruckend“, kommentiert Igor Kuznetsov, leitender Sicherheitsforscher beim Global Research and Analysis Team (GReAT) bei Kaspersky. „Es scheint, als hätten die Entwickler mindestens genauso viel Arbeit in die Verschleierung und in Maßnahmen zur Verhinderung von Analysen gesteckt wie in den Trojaner selbst. Das Ergebnis ist, dass diese Spyware aufgrund ihrer Fähigkeit, sich jeder Erkennung und Analyse zu entziehen, besonders schwer aufzuspüren und zu entdecken ist. Die Tatsache, dass diese Spyware mit hoher Präzision eingesetzt wird und praktisch unmöglich zu analysieren ist, bedeutet auch, dass ihre Opfer besonders anfällig sind und die Forscher vor einer immensen Herausforderung stehen. Denn sie müssen eine überwältigende Menge an Ressourcen investieren, um jedes einzelne Sample zu entwirren. Ich glaube, dass komplexe Bedrohungen wie FinFisher zeigen, wie wichtig es für Sicherheitsforscher ist, zusammenzuarbeiten und Wissen auszutauschen sowie in neue Arten von Sicherheitslösungen zu investieren, die solche Bedrohungen bekämpfen können.“

Kaspersky-Tipps zum Schutz vor Spyware wie FinFisher für Privatanwender

• Anwendungen und Programme sollten immer nur von vertrauenswürdigen Websites heruntergeladen werden.
• Das genutzte Betriebssystem und sämtliche Software sollten regelmäßig aktualisiert werden. Viele Sicherheitslücken lassen sich durch die Installation aktualisierter Softwareversionen schließen.
• Bevor ein Anhang geöffnet oder ein Link angeklickt, sollte die Vertrauenswürdigkeit des Absenders kritisch geprüft werden. In der Mail enthaltene Links weisen darauf hin, ob eine Mail und deren Anhänge seriös sind und wohin sie führen.
• Auf Computern und mobilen Geräten sollte eine leistungsstarke Sicherheitslösung wie Kaspersky Internet Security für Android [3] oder Kaspersky Total Security [4] eingesetzt werden.

Kaspersky-Empfehlungen für Unternehmen zum Schutz vor Spyware

• Es sollten Richtlinie für die Nutzung von Software außerhalb des Unternehmens festgelegt werden. Die Aufklärung der Mitarbeiter über die Risiken des Herunterladens von nicht autorisierten Anwendungen aus nicht vertrauenswürdigen Quellen ist hierbei essenziell.
• Regelmäßige Schulungen zum Thema Cybersicherheit [5] bieten ein Plus an Sicherheit, da viele zielgerichtete Angriffe durch Phishing oder andere Social-Engineering-Techniken beginnen.
• Eine Anti-APT- und EDR-Lösungen implementieren, die die Erkennung von Bedrohungen sowie die Untersuchung und zeitnahe Behebung von Vorfällen ermöglichen.
• Das SOC-Team Zugang sollte stets Zugang zu den neuesten Bedrohungsdaten haben und geschult werden. Kaspersky Expert Security Framework [6] beinhaltet diese Komponenten.
• Neben einem leistungsstarken Endpoint-Schutz können spezielle Services bei komplexen und fortschrittlichen Angriffen helfen. Kaspersky Managed Detection and Response [7] hilft dabei, Angriffe im Frühstadium zu erkennen und zu stoppen.

Weitere Ergebnisse der Kaspersky-Analyse zu FinFisher sind verfügbar unter https://securelist.com/finspy-unseen-findings/104322/.

[1] https://securelist.com/finspy-unseen-findings/104322/

[2] https://securelist.com/?s=finfisher

[3] https://www.kaspersky.de/android-security

[4] https://www.kaspersky.de/total-security

[5] https://www.kaspersky.de/enterprise-security/security-awareness

[6] https://go.kaspersky.com/expert

[7] https://www.kaspersky.de/enterprise-security/managed-detection-and-response

Nützliche Links:

• Kaspersky-Analyse zu FinFisher: https://securelist.com/finspy-unseen-findings/104322/
• Kaspersky Total Security: https://www.kaspersky.de/total-security
• Kaspersky Security Awareness-Training: https://www.kaspersky.de/enterprise-security/security-awareness
• Kaspersky Expert Security: https://go.kaspersky.com/expert
• Kaspersky Managed Detection and Response Service: https://www.kaspersky.de/enterprise-security/managed-detection-and-response
• Kaspersky Internet Security for Android: https://www.kaspersky.de/android-security